Читая новое исследование "Controlling the chaos: The key to effective incident response", обратил больше внимания не на типовые вопросы и не менее очевидные ответы респондентов, а на их анонимки, где они открыто поделились своей болью, связанной с процессом реагирования на инциденты🤬
Как видно на последнем скрине, большая боль в управлении инцидентами - это управление уязвимостями😢
Как видно на последнем скрине, большая боль в управлении инцидентами - это управление уязвимостями
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔2
Мои коллеги из медиахолдинга Rambler&Co провели опрос среди россиян на тему кибергигиены и кибермошенничества. Числа получились интересные и наглядные, так как в опросе приняло участие более 170к человек. Подробнее можно почитать на сайте TACC или в канале Rambler Way🔥
А завтра приходите на Positive Hack Days😮 . Там будет много всяких активностей, в том числе и на стенде Rambler&Co. Берите с собой родных и близких - им это будет очень полезно👍
А завтра приходите на Positive Hack Days
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥3👍2🤯1
Пока уважающие себя компании по всему миру презентуют свои продукты под названием "xxxGPT", уважающие себя безопасники рисуют карту поверхности атак на системы искуственного интеллекта. Пока получается вот так как на иллюстрации👨💻
Подробнее про компоненты систем ИИ и присущие им тип атак можно почитать в статье.
Подробнее про компоненты систем ИИ и присущие им тип атак можно почитать в статье.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤔1
На Blue Hat 2023 был интересный доклад от Elevate Security на тему определения "высокорисковых" пользователей - тех самых усердно кликающихся по ссылкам из фишинговых писем, "ходящих по "левым" ссылкам и активно запускающим всякие вредоносные файлы.
В основу доклада легли статистические данные о фишинговых атаках (как реальных, так и учебных), событиях инцидентов, связанных с запуском вредоносного ПО и небезопасного серфинга, собранных компанией Elevate Security и обработанных Cyentia Institute за 2014-2022гг.
Интересной статистики получилось много, поэтому предлагаю полистать отчет об исследовании. Если выделять ключевые выводы, то можно отметить следующее:
➡️ Категории высокорисковых пользователей сильно варьируются в зависимости от сферы деятельности организации, но, в целом, можно выделить подразделения наиболее подверженные рассматриваемым рискам.
➡️ Пользователи с высоким риском составляют в среднем 10% от численности подразделения, в котором они работают.
➡️ Менеджеры больше подвержены фишинговым атакам, чем рядовые сотрудники, но при этом они лучше реагируют на учебные атаки.
➡️ Подрядчики менее подвержены рассматриваемым рискам, чем штатные сотрудники!
А на недавно прошедшем Positive Hack Days Сергей Волдохин в рамках своего доклада "People as code: сотрудник как актив и объект защиты" также рассказал как можно практически использовать оценки уровней риска пользователей в других процессах ИБ.
В основу доклада легли статистические данные о фишинговых атаках (как реальных, так и учебных), событиях инцидентов, связанных с запуском вредоносного ПО и небезопасного серфинга, собранных компанией Elevate Security и обработанных Cyentia Institute за 2014-2022гг.
Интересной статистики получилось много, поэтому предлагаю полистать отчет об исследовании. Если выделять ключевые выводы, то можно отметить следующее:
А на недавно прошедшем Positive Hack Days Сергей Волдохин в рамках своего доклада "People as code: сотрудник как актив и объект защиты" также рассказал как можно практически использовать оценки уровней риска пользователей в других процессах ИБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1👨💻1
В исследовании конторы NetSPI есть полезная информация по топовым типам уязвимостей, которые находили в рамках пентестов и сканирований. Пишут, что эта статистика - результат анализа более чем 300к пентестов 😮
На первом скрине можно увидеть ключевые выводы из отчета, а на втором ещё одну интересную аналитику - время исправления уязвимостей в зависимости от критичности. Стоит только обратить внимание, что оценка критичности здесь строится не на оценке CVSS, а на типе уязвимости и её влиянию на системы (см. третий скрин).
Можно "примерить" эти сроки на себя и оценить на сколько оперативны в исправлении критичных уязвимостей в своей организации🤬
Если накладывать эти цифры на требования директив американского агентства CISA, то выглядит все так, что зарубежные специалисты по ИБ (в госах и около-госах) неплохо справляются с устранением уязвимостей😅
Напомню, что в соответствии с директивой BOD 19-02 американские госы обязаны устранять критические уязвимости в активах, доступных из сети Интернет, за 15 дней, а уязвимости высокого уровня - за 30 дней. Даже директива BOD 22-01 накладывает на американские госы обязанность исправления уязвимостей из каталога CISA KEV всего лишь в течение 14 дней с момента появления уязвимости в каталоге, хотя в самом каталоге я вижу, что срок устранения почти везде установлен в три недели🤔
Просто в агентстве CISA ещё не видели свежеутвержденное руководство по управлению уязвимостями от ФСТЭК, где в очередной раз указывается рекомендуемый срок исправления критов в одни сутки, а уязвимостей высокого уровня - до недели😊
На первом скрине можно увидеть ключевые выводы из отчета, а на втором ещё одну интересную аналитику - время исправления уязвимостей в зависимости от критичности. Стоит только обратить внимание, что оценка критичности здесь строится не на оценке CVSS, а на типе уязвимости и её влиянию на системы (см. третий скрин).
Можно "примерить" эти сроки на себя и оценить на сколько оперативны в исправлении критичных уязвимостей в своей организации
Если накладывать эти цифры на требования директив американского агентства CISA, то выглядит все так, что зарубежные специалисты по ИБ (в госах и около-госах) неплохо справляются с устранением уязвимостей😅
Напомню, что в соответствии с директивой BOD 19-02 американские госы обязаны устранять критические уязвимости в активах, доступных из сети Интернет, за 15 дней, а уязвимости высокого уровня - за 30 дней. Даже директива BOD 22-01 накладывает на американские госы обязанность исправления уязвимостей из каталога CISA KEV всего лишь в течение 14 дней с момента появления уязвимости в каталоге, хотя в самом каталоге я вижу, что срок устранения почти везде установлен в три недели
Просто в агентстве CISA ещё не видели свежеутвержденное руководство по управлению уязвимостями от ФСТЭК, где в очередной раз указывается рекомендуемый срок исправления критов в одни сутки, а уязвимостей высокого уровня - до недели😊
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🌚1👨💻1
Сегодня вышел в свет очередной огромнейший "Data Breach Investigations Report 2023" от Verizon.
Как всегда огромное количество различной статистики и аналитики по инцидентам, связанным с утечкой данных.
Из новшеств стоит отметить появление в отчете информации об использованных злоумышленниками техниках Mitre Att&ck, а также маппинг мер безопасности CIS Controls на различные типы инцидентов в рамках классификации Verizon.
Как всегда огромное количество различной статистики и аналитики по инцидентам, связанным с утечкой данных.
Из новшеств стоит отметить появление в отчете информации об использованных злоумышленниками техниках Mitre Att&ck, а также маппинг мер безопасности CIS Controls на различные типы инцидентов в рамках классификации Verizon.
👍5🔥3👨💻2
Уже начали выпускать "почти полугодовые" итоги за 2023 год - время летит😅
Вот ребята из PRIOn выпустили статистику по наиболее опасным уязвимостям, зарегистрированным в это году - их насчитали 44 штуки.
Наиболее "трендовые" по версии PRIOn:
➡️ CVE-2023-23397 [Microsoft Outlook] - самая 🔥 уязвимость на текущий момент. Активно использовалась группировкой APT28.
➡️ CVE-2023-27350 [PaperCut NG] - активная эксплуатация различными ransomware-группировками.
➡️ CVE-2023-28771 [Zyxel] и CVE-2023-1389 [TP-Link] - активно помогали пополнять ряды ботнета Mirai😈
➡️ CVE-2023-0669 [Fortra GoAnywhere MFT] - активная эксплуатация группировкой Clop.
➡️ CVE-2023-2868 [Barracuda ESG] - пока никому не приписанная активная эксплуатация для кражи данных.
➡️ CVE-2023-24880 [Microsoft Windows SmartScreen] - активная эксплуатация ransomware-группировкой Magniber.
➡️ CVE-2023-28252 [Microsoft Windows 10] - активная эксплуатация ransomware-группировкой Nokoyama.
➡️ CVE-2023-27532 [Veeam Backup] - эксплуатация приписывается отечественной APT-группировке FIN7.
➡️ CVE-2023-34362 [MOVEit Transfer] - активная эксплуатация различными APT-группировками.
Ну и ТОП-3 типов уязвимостей:
➡️ Privilege Escalation
➡️ Security Feature Bypass
➡️ Command Injection
Вот ребята из PRIOn выпустили статистику по наиболее опасным уязвимостям, зарегистрированным в это году - их насчитали 44 штуки.
Наиболее "трендовые" по версии PRIOn:
Ну и ТОП-3 типов уязвимостей:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤔1
Forbes совместно с SecurityScorecard составили ТОП-200 наиболее "киберзащищенных" компаний США.
В скоуп исследований попали компании США с выручкой не менее 1 млрд $, не имевшие ("публичных" -прим. автора) инцидентов кибербезопасности за последние 12 месяцев, а также имеющие CISO в составе совета директоров, ну и, конечно же, с высокой оценкой в рейтинге SecurityScorecard (оценке подвергались процессы КБ, подробности только такие).
ТОП-20 представлен на инфографике, а ниже по рейтингу в порядке убывания:
🔹Intel
🔹Western Alliance Bancorp.
🔹Virtusa
🔹Palantir Technologies
🔹MetLife
🔹Pacific Western Bank
🔹Houlihan Lokey
🔹Wayne-Sanderson Farms
🔹Neiman Marcus Group
🔹Rooms To Go
🔹MGIC Investment
🔹Westlake Chemical
🔹The Hartford
🔹Monster Beverage
🔹New American Funding
🔹Guardian Life Insurance Co of America
🔹Globalfoundries
🔹Fidelity Investments
🔹The Friedkin Group
🔹United Airlines Holdings
Довольно "смелый" рейтинг. Посмотрим как он будет меняться после наступления инцидента в этих компаниях, хотя более интересно как оценивала (и оценила) компания SecurityScorecard процессы КБ в этих компаниях🙂
p.s. Бонусом ТОП-10 самых "позорных" утечек по версии Forbes.
В скоуп исследований попали компании США с выручкой не менее 1 млрд $, не имевшие ("публичных" -прим. автора) инцидентов кибербезопасности за последние 12 месяцев, а также имеющие CISO в составе совета директоров, ну и, конечно же, с высокой оценкой в рейтинге SecurityScorecard (оценке подвергались процессы КБ, подробности только такие).
ТОП-20 представлен на инфографике, а ниже по рейтингу в порядке убывания:
🔹Intel
🔹Western Alliance Bancorp.
🔹Virtusa
🔹Palantir Technologies
🔹MetLife
🔹Pacific Western Bank
🔹Houlihan Lokey
🔹Wayne-Sanderson Farms
🔹Neiman Marcus Group
🔹Rooms To Go
🔹MGIC Investment
🔹Westlake Chemical
🔹The Hartford
🔹Monster Beverage
🔹New American Funding
🔹Guardian Life Insurance Co of America
🔹Globalfoundries
🔹Fidelity Investments
🔹The Friedkin Group
🔹United Airlines Holdings
Довольно "смелый" рейтинг. Посмотрим как он будет меняться после наступления инцидента в этих компаниях, хотя более интересно как оценивала (и оценила) компания SecurityScorecard процессы КБ в этих компаниях
p.s. Бонусом ТОП-10 самых "позорных" утечек по версии Forbes.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤔2