PRIOn Knowledge Base - очередная база знаний о CVE, обогащенная следующей информацией:
🔹Информация об эксплоитах (Ссылки на Github, например).
🔹Информация об активной эксплуатации (каталог CISA KEV).
🔹Ссылки на медиа-источники, где упоминается уязвимость (twitter, reddit, новостные порталы).
🔹Данные об эксплуатации из песочниц и публичных TI-отчетов.
🔹Данные из различных баз знаний о типе уязвимости (CAPEC, OWASP Top-10, CWE Top-25, DISA STIG, и т.п.).
Также у PRIOn есть:
🔹Своя система оценки, определяющая приоритетность исправления для каждой уязвимости.
🔹Возможность загрузки отчетов из нескольких VM-сканеров для приоритезации исправления уязвимостей.
🔹И API - правда, в бесплатной версии всего 100 запросов в день, но всё равно неплохо.
Итого: интересный ресурс с учетом доступного функционала в бесплатной версии и большого количества статистики. У них еще, кстати, есть статья про Топ-100 уязвимостей 2022 года, с большим количеством аналитики и статистики.
🔹Информация об эксплоитах (Ссылки на Github, например).
🔹Информация об активной эксплуатации (каталог CISA KEV).
🔹Ссылки на медиа-источники, где упоминается уязвимость (twitter, reddit, новостные порталы).
🔹Данные об эксплуатации из песочниц и публичных TI-отчетов.
🔹Данные из различных баз знаний о типе уязвимости (CAPEC, OWASP Top-10, CWE Top-25, DISA STIG, и т.п.).
Также у PRIOn есть:
🔹Своя система оценки, определяющая приоритетность исправления для каждой уязвимости.
🔹Возможность загрузки отчетов из нескольких VM-сканеров для приоритезации исправления уязвимостей.
🔹И API - правда, в бесплатной версии всего 100 запросов в день, но всё равно неплохо.
Итого: интересный ресурс с учетом доступного функционала в бесплатной версии и большого количества статистики. У них еще, кстати, есть статья про Топ-100 уязвимостей 2022 года, с большим количеством аналитики и статистики.
👍6🔥2
Интересную аналитику в виде корреляции между ролью сотрудника в организации и его реакцией на фишинговые письма нашел в отчете “Read” Alert:Data Shows 28% of BEC Attacks Opened by Employees".
Как показывает статистика, обмануть финансового директора и директора школы, видимо, не просто😆
p.s. Аналогичную аналитику с корреляцией ролей и реакции ранее выпускала компания F-Secure.
Как показывает статистика, обмануть финансового директора и директора школы, видимо, не просто
p.s. Аналогичную аналитику с корреляцией ролей и реакции ранее выпускала компания F-Secure.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
ТОП-10 техник из MITRE ATT&CK, которые чаще всего использовались злоумышленниками в 2022 году.
Такую картину нам показывает Picus Labs в своем исследовании "The Red Report 2023" по результатам анализа более 500к экземпляров malware.
В отчете почти 150 страниц разбора техник с примерами👍
Такую картину нам показывает Picus Labs в своем исследовании "The Red Report 2023" по результатам анализа более 500к экземпляров malware.
В отчете почти 150 страниц разбора техник с примерами
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5🤔1🌚1
Агентство CISA в 2022 году провело red teaming одной крупной организации критической инфраструктуры (по её запросу) и вот на днях поделилось подробностями того как это было.
Несмотря на то, что красная команда CISA не смогла получить доступ к критичным бизнес-системам (спасибо MFA), им прекрасно удалось закрепиться в корпоративной сети, не дав обнаружить себя до конца своей деятельности длиною в 64 дня🥲
В выпущенном бюллетене CISA подробно описывает технические детали оценки защищенности методом red teaming - всё в разбивке на TTPs по MITRE ATT&CK, с указанием недостатков безопасности и мер, позволяющих их устранить.
Из недостатков отмечены следующие моменты:
🔹 Недостаточный мониторинг хостов и сети - фишинг, аномальное поведение учеток, аномальный исходящий трафик никто не обнаружил.
🔹 Отсутствие мониторинга в MDM-системах - привилегированный доступ к хостам был получен через MDM.
🔹 Отсутствие политик смены паролей у специализированных учетных записей - пароль от учетки Kerberos Ticket Granting Ticket не менялся 10 лет...
🔹 Избыточные права доступа у обычных пользователей - у стандартных учеток были права локального администратора.
🔹 Наличие хостов с включенной функцией неограниченного делегирования - позволило провести атаку "Golden Ticket".
🔹Использование конфигураций по умолчанию - позволило получить права локального администратора на серверах.
🔹 Отсутствие мониторинга исходящего трафика в сеть Интернет - контролеры домена неограниченно отправляли данные во вне.
🔹 Присутствие на хостах потенциально нежелательного ПО - без комментариев.
🔹 Обязательная периодическая смена паролей учетных записей - да, уже давно все рекомендуют уходить от этой практики, НО есть нюансы, конечно😅 (желательно сначала MFA внедрить).
🔹 Неповсеместное использование смарт-карт.
Несмотря на то, что красная команда CISA не смогла получить доступ к критичным бизнес-системам (спасибо MFA), им прекрасно удалось закрепиться в корпоративной сети, не дав обнаружить себя до конца своей деятельности длиною в 64 дня
В выпущенном бюллетене CISA подробно описывает технические детали оценки защищенности методом red teaming - всё в разбивке на TTPs по MITRE ATT&CK, с указанием недостатков безопасности и мер, позволяющих их устранить.
Из недостатков отмечены следующие моменты:
🔹 Недостаточный мониторинг хостов и сети - фишинг, аномальное поведение учеток, аномальный исходящий трафик никто не обнаружил.
🔹 Отсутствие мониторинга в MDM-системах - привилегированный доступ к хостам был получен через MDM.
🔹 Отсутствие политик смены паролей у специализированных учетных записей - пароль от учетки Kerberos Ticket Granting Ticket не менялся 10 лет...
🔹 Избыточные права доступа у обычных пользователей - у стандартных учеток были права локального администратора.
🔹 Наличие хостов с включенной функцией неограниченного делегирования - позволило провести атаку "Golden Ticket".
🔹Использование конфигураций по умолчанию - позволило получить права локального администратора на серверах.
🔹 Отсутствие мониторинга исходящего трафика в сеть Интернет - контролеры домена неограниченно отправляли данные во вне.
🔹 Присутствие на хостах потенциально нежелательного ПО - без комментариев.
🔹 Обязательная периодическая смена паролей учетных записей - да, уже давно все рекомендуют уходить от этой практики, НО есть нюансы, конечно😅 (желательно сначала MFA внедрить).
🔹 Неповсеместное использование смарт-карт.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥1
ТОП-10 рисков программного обеспечения с открытым исходным кодом по версии исследовательской группы Station 9 и CISO/CTO известных крупных ИТ и ИБ-компаний.
Подробнее про каждый риск, меры снижения уровня риска и примеры можно почитать в отчете.
Подробнее про каждый риск, меры снижения уровня риска и примеры можно почитать в отчете.
🔥6👍3
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых ransomware.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
👍5🔥2🤔1🐳1🌚1
AlexRedSec
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых…
А вот вдогонку еще аналитика от Vulncheck о 42 уязвимостях, которые активно эксплуатировались (в 2022 году) злоумышленниками и до сих пор не добавлены в каталог CISA KEV.
👍2
Forwarded from Управление Уязвимостями и прочее
Вышла третья итерация Exploit Prediction Scoring System (EPSS). Пишут, что стала на 82% круче. Есть довольно прикольная и подробная статья про изменения. Например, EPSS-ники начали анализировать не 16 свойств уязвимостей, а аж 1164. Есть подозрение, что большая часть этих свойств это лейблы вендоров, как в таблице. Но выяснять как оно конкретно работает дело всё равно малоперспективное, потому что "а внутри у ней нейронка" (c). В целом, по запутанности уже похоже на Tenable VPR. Но бесплатность всё искупает. 😇 Кстати, в статье упоминают Tenable VPR и прочие коммерческие скоры и критикуют их за проприетарность, публичную недоступность и то, что они частично базируются на экспертном мнении, а не только на данных.
Поглядел выгрузку EPSS на примерах.
1. Для уязвимости Word-а (CVE-2023-21716) с недавним PoC-ом EPSS очень высокий (0.16846,0.95168).
2. Для SPNEGO (CVE-2022-37958), для которого эксплоит ожидается в Q2, EPSS тоже высокий (0.07896,0.93195).
3. Для рандомной уязвимости MS Edge (CVE-2023-0696) из февральского MS Patch Tuesday (их десятки каждый месяц), EPSS низкий (0.00062,0.24659)
4. Взял наоборот уязвимость с высоким EPSS из выгрузки - CVE-2023-0297 (0.04128,0.90834). Тоже понятно почему, там ссылка на эксплоит прямо в NVD.
На первый взгляд всё вполне адекватно. 👍
То есть делать приоритизацию исключительно на основе EPSS я бы не советовал, но использовать как дополнительный фактор с весом как у CVSS Base Score (а возможно и повыше) выглядит вполне оправданным. Совсем без причины эта цифирь вверх вряд ли поползет, если она идёт к 0.9 и выше имеет смысл поглядеть на уязвимость повнимательнее. Подумываю начать учитывать EPSS в Vulristics. 😉
@avleonovrus #EPSS #TenableVPR #Tenable #Vulristics
Поглядел выгрузку EPSS на примерах.
1. Для уязвимости Word-а (CVE-2023-21716) с недавним PoC-ом EPSS очень высокий (0.16846,0.95168).
2. Для SPNEGO (CVE-2022-37958), для которого эксплоит ожидается в Q2, EPSS тоже высокий (0.07896,0.93195).
3. Для рандомной уязвимости MS Edge (CVE-2023-0696) из февральского MS Patch Tuesday (их десятки каждый месяц), EPSS низкий (0.00062,0.24659)
4. Взял наоборот уязвимость с высоким EPSS из выгрузки - CVE-2023-0297 (0.04128,0.90834). Тоже понятно почему, там ссылка на эксплоит прямо в NVD.
На первый взгляд всё вполне адекватно. 👍
То есть делать приоритизацию исключительно на основе EPSS я бы не советовал, но использовать как дополнительный фактор с весом как у CVSS Base Score (а возможно и повыше) выглядит вполне оправданным. Совсем без причины эта цифирь вверх вряд ли поползет, если она идёт к 0.9 и выше имеет смысл поглядеть на уязвимость повнимательнее. Подумываю начать учитывать EPSS в Vulristics. 😉
@avleonovrus #EPSS #TenableVPR #Tenable #Vulristics
👍5
Альянс организаций "Cyber Threat Alliance" и институт "Institute for Security and Technology" выпустили брошюру (вторую версию) с принципами формирования и типовой формой отчетности по инцидентам кибербезопасности.
Цель - унифицировать подход к отчетности, которую необходимо предоставлять регуляторам (CISA и пр.), а также которой можно было бы обмениваться между различными организациями в рамках сотрудничества в сфере кибербезопасности.
В брошюре можно найти принципы формирования отчетности, критерии значимых инцидентов (для зарубежных регуляторов, само собой), а также обязательные и необязательные поля для заполнения в рамках отчетности о случившемся инциденте кибербезопасности, с описанием зачем она нужна регулятору или может понадобиться коллегам "по цеху".
В целом ничего сверхъестественного, но как структурированный справочник можно сохранить.
Цель - унифицировать подход к отчетности, которую необходимо предоставлять регуляторам (CISA и пр.), а также которой можно было бы обмениваться между различными организациями в рамках сотрудничества в сфере кибербезопасности.
В брошюре можно найти принципы формирования отчетности, критерии значимых инцидентов (для зарубежных регуляторов, само собой), а также обязательные и необязательные поля для заполнения в рамках отчетности о случившемся инциденте кибербезопасности, с описанием зачем она нужна регулятору или может понадобиться коллегам "по цеху".
В целом ничего сверхъестественного, но как структурированный справочник можно сохранить.
👍3