Немного статистики по различным метрикам реагирования на инциденты ИБ (и не только) можно увидеть в отчете "2023 Data Security Incident Response Report" от известной юридической фирмы BakerHostetler.

Например, использование EDR-решений привело к снижению среднего времени обнаружения вторжения (MTTD) более чем в полтора раза (до 39 дней).
Интересно, что причиной сокращения MTTC (среднего времени до локализации инцидента) в большей степени является такой надежный способ как "рубильник" - аварийное отключение активов для прекращения распространения угрозы🫡

Читая новое исследование "Controlling the chaos: The key to effective incident response", обратил больше внимания не на типовые вопросы и не менее очевидные ответы респондентов, а на их анонимки, где они открыто поделились своей болью, связанной с процессом реагирования на инциденты🤬
Как видно на последнем скрине, большая боль в управлении инцидентами - это управление уязвимостями😢

На Blue Hat 2023 был интересный доклад от Elevate Security на тему определения "высокорисковых" пользователей - тех самых усердно кликающихся по ссылкам из фишинговых писем, "ходящих по "левым" ссылкам и активно запускающим всякие вредоносные файлы.

В основу доклада легли статистические данные о фишинговых атаках (как реальных, так и учебных), событиях инцидентов, связанных с запуском вредоносного ПО и небезопасного серфинга, собранных компанией Elevate Security и обработанных Cyentia Institute за 2014-2022гг.

Интересной статистики получилось много, поэтому предлагаю полистать отчет об исследовании. Если выделять ключевые выводы, то можно отметить следующее:
➡️Категории высокорисковых пользователей сильно варьируются в зависимости от сферы деятельности организации, но, в целом, можно выделить подразделения наиболее подверженные рассматриваемым рискам.
➡️Пользователи с высоким риском составляют в среднем 10% от численности подразделения, в котором они работают.
➡️Менеджеры больше подвержены фишинговым атакам, чем рядовые сотрудники, но при этом они лучше реагируют на учебные атаки.
➡️Подрядчики менее подвержены рассматриваемым рискам, чем штатные сотрудники!

А на недавно прошедшем Positive Hack Days Сергей Волдохин в рамках своего доклада "People as code: сотрудник как актив и объект защиты" также рассказал как можно практически использовать оценки уровней риска пользователей в других процессах ИБ.

В исследовании конторы NetSPI есть полезная информация по топовым типам уязвимостей, которые находили в рамках пентестов и сканирований. Пишут, что эта статистика - результат анализа более чем 300к пентестов 😮

На первом скрине можно увидеть ключевые выводы из отчета, а на втором ещё одну интересную аналитику - время исправления уязвимостей в зависимости от критичности. Стоит только обратить внимание, что оценка критичности здесь строится не на оценке CVSS, а на типе уязвимости и её влиянию на системы (см. третий скрин).
Можно "примерить" эти сроки на себя и оценить на сколько оперативны в исправлении критичных уязвимостей в своей организации🤬

Если накладывать эти цифры на требования директив американского агентства CISA, то выглядит все так, что зарубежные специалисты по ИБ (в госах и около-госах) неплохо справляются с устранением уязвимостей😅
Напомню, что в соответствии с директивой BOD 19-02 американские госы обязаны устранять критические уязвимости в активах, доступных из сети Интернет, за 15 дней, а уязвимости высокого уровня - за 30 дней. Даже директива BOD 22-01 накладывает на американские госы обязанность исправления уязвимостей из каталога CISA KEV всего лишь в течение 14 дней с момента появления уязвимости в каталоге, хотя в самом каталоге я вижу, что срок устранения почти везде установлен в три недели🤔
Просто в агентстве CISA ещё не видели свежеутвержденное руководство по управлению уязвимостями от ФСТЭК, где в очередной раз указывается рекомендуемый срок исправления критов в одни сутки, а уязвимостей высокого уровня - до недели😊