На Blue Hat 2023 был интересный доклад от Elevate Security на тему определения "высокорисковых" пользователей - тех самых усердно кликающихся по ссылкам из фишинговых писем, "ходящих по "левым" ссылкам и активно запускающим всякие вредоносные файлы.

В основу доклада легли статистические данные о фишинговых атаках (как реальных, так и учебных), событиях инцидентов, связанных с запуском вредоносного ПО и небезопасного серфинга, собранных компанией Elevate Security и обработанных Cyentia Institute за 2014-2022гг.

Интересной статистики получилось много, поэтому предлагаю полистать отчет об исследовании. Если выделять ключевые выводы, то можно отметить следующее:
➡️Категории высокорисковых пользователей сильно варьируются в зависимости от сферы деятельности организации, но, в целом, можно выделить подразделения наиболее подверженные рассматриваемым рискам.
➡️Пользователи с высоким риском составляют в среднем 10% от численности подразделения, в котором они работают.
➡️Менеджеры больше подвержены фишинговым атакам, чем рядовые сотрудники, но при этом они лучше реагируют на учебные атаки.
➡️Подрядчики менее подвержены рассматриваемым рискам, чем штатные сотрудники!

А на недавно прошедшем Positive Hack Days Сергей Волдохин в рамках своего доклада "People as code: сотрудник как актив и объект защиты" также рассказал как можно практически использовать оценки уровней риска пользователей в других процессах ИБ.

В исследовании конторы NetSPI есть полезная информация по топовым типам уязвимостей, которые находили в рамках пентестов и сканирований. Пишут, что эта статистика - результат анализа более чем 300к пентестов 😮

На первом скрине можно увидеть ключевые выводы из отчета, а на втором ещё одну интересную аналитику - время исправления уязвимостей в зависимости от критичности. Стоит только обратить внимание, что оценка критичности здесь строится не на оценке CVSS, а на типе уязвимости и её влиянию на системы (см. третий скрин).
Можно "примерить" эти сроки на себя и оценить на сколько оперативны в исправлении критичных уязвимостей в своей организации🤬

Если накладывать эти цифры на требования директив американского агентства CISA, то выглядит все так, что зарубежные специалисты по ИБ (в госах и около-госах) неплохо справляются с устранением уязвимостей😅
Напомню, что в соответствии с директивой BOD 19-02 американские госы обязаны устранять критические уязвимости в активах, доступных из сети Интернет, за 15 дней, а уязвимости высокого уровня - за 30 дней. Даже директива BOD 22-01 накладывает на американские госы обязанность исправления уязвимостей из каталога CISA KEV всего лишь в течение 14 дней с момента появления уязвимости в каталоге, хотя в самом каталоге я вижу, что срок устранения почти везде установлен в три недели🤔
Просто в агентстве CISA ещё не видели свежеутвержденное руководство по управлению уязвимостями от ФСТЭК, где в очередной раз указывается рекомендуемый срок исправления критов в одни сутки, а уязвимостей высокого уровня - до недели😊

Уже начали выпускать "почти полугодовые" итоги за 2023 год - время летит😅
Вот ребята из PRIOn выпустили статистику по наиболее опасным уязвимостям, зарегистрированным в это году - их насчитали 44 штуки.

Наиболее "трендовые" по версии PRIOn:
➡️CVE-2023-23397 [Microsoft Outlook] - самая 🔥 уязвимость на текущий момент. Активно использовалась группировкой APT28.
➡️CVE-2023-27350 [PaperCut NG] - активная эксплуатация различными ransomware-группировками.
➡️CVE-2023-28771 [Zyxel] и CVE-2023-1389 [TP-Link] - активно помогали пополнять ряды ботнета Mirai😈
➡️CVE-2023-0669 [Fortra GoAnywhere MFT] - активная эксплуатация группировкой Clop.
➡️CVE-2023-2868 [Barracuda ESG] - пока никому не приписанная активная эксплуатация для кражи данных.
➡️CVE-2023-24880 [Microsoft Windows SmartScreen] - активная эксплуатация ransomware-группировкой Magniber.
➡️CVE-2023-28252 [Microsoft Windows 10] - активная эксплуатация ransomware-группировкой Nokoyama.
➡️CVE-2023-27532 [Veeam Backup] - эксплуатация приписывается отечественной APT-группировке FIN7.
➡️CVE-2023-34362 [MOVEit Transfer] - активная эксплуатация различными APT-группировками.

Ну и ТОП-3 типов уязвимостей:
➡️Privilege Escalation
➡️Security Feature Bypass
➡️Command Injection

Coalition (компания, занимающаяся киберстрахованием и предоставляющая услуги MSSP) на днях презентовала свою систему динамической оценки возможности эксплуатации уязвимостей "Coalition Exploit Scoring System".

Coalition ESS представляет собой инструмент динамической приоритизации устранения уязвимостей на основе агрегации информации из следующих источников:
➡️NVD (оценка CVSS и краткое описание уязвимости)
➡️FIRST (оценка EPSS)
➡️CISA KEV (сведения об эксплуатации)
➡️Greynoise TI (сведения об эксплуатации)
➡️Metasploit (сведения об эксплоите/PoC)
➡️ExploitDB (сведения об эксплоите/PoC)
➡️Coalition Honeypots (сведения об эксплуатации).

На основе непубличного алгоритма (с помощью AI и LLM) вычисляются две самых интересных метрики:
➡️ Exploit Availability - вероятность того, что код эксплоита станет общедоступным.
➡️ Exploit Usage - вероятность того, что эксплоит будет использоваться злоумышленниками.

Помимо вышеуказанного имеются ссылки на упоминания об уязвимости в социальных сетях, ссылки на репозитории с эксплоитами/PoC и несколько временных графиков.
Дополнительно в описании уязвимости подсвечиваются ключевые слова, на которые стоит обратить внимание, - правда работает так себе и особой пользы пока не вижу.
Создатели обещают обогащать информацию об уязвимости в течение недели после появления публичной информации о ней.

Звучит довольно круто, но с учетом того, что пока нет API-функционала и более подробной информации о том, как использовать эту систему для приоритизации устранения уязвимостей (т.е. как использовать метрики Exploit Availability и Exploit Usage не понятно), выглядит сыровато, хотя шильдик "Beta" как бы говорит сам за себя.
На текущий момент система приоритезации от PRIOn выглядит более зрелой и более доступной для использования.