AlexRedSec
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых…
"Patterns and Targets for Ransomware Exploitation of Vulnerabilities: 2017–2023" – очередное исследование о ransomware от Recorded Future за соответствующий период👀
Отчетами о шифровальщиках уже сложно кого-то удивить, но данный документ интересен описанием некоторых "ярких" паттернов поведения известных ransomware-группировок, их "любимых" целей, а также перечнем уязвимостей, используемых шифровальщиками – насчитали 87 штук😮
#cve #ransomware #vulnerability #cvss
Отчетами о шифровальщиках уже сложно кого-то удивить, но данный документ интересен описанием некоторых "ярких" паттернов поведения известных ransomware-группировок, их "любимых" целей, а также перечнем уязвимостей, используемых шифровальщиками – насчитали 87 штук
#cve #ransomware #vulnerability #cvss
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
По следам завершающейся недели😂
👑 Ivanti не собирается отдавать пальму первенства и продолжает "штамповать" уязвимости.
👑 Fortinet не отстаёт и сразу выдает уязвимость с признаками эксплуатации вживую.
🤴 Trend Micro пока в режиме ожидания, замыкая топ вендоров средств защиты в каталоге CISA KEV.
🐴 Можно еще отметить "темную" лошадку Cisco, которая заслуживает место в топе (по совокупности "достижений"). Вот уже появился PoC для свежей уязвимости в ClamAV — да, продукт не родной для Cisco, но и дырявый Connect Secure от Ivanti является продуктом купленной компании Pulse Secure👀
#news #meme #humor
#news #meme #humor
Please open Telegram to view this post
VIEW IN TELEGRAM
😱6
Британское ведомство NCSC выпустило руководство по эффективному управлению уязвимостями👍
В целом, сложно выделить какие-то новые полезные советы – собраны уже очевидные на текущий момент рекомендации:
➡️ Автоматизация установки обновлений
➡️ Немедленная установка обновлений в случае массовой эксплуатации уязвимости
➡️ Внедрение процедуры принятия рисков в случае отказа/невозможности обновления актива
➡️ Не использовать "в одиночку" такой критерий приоритезации как оценка CVSS
➡️ Мониторинг информационных источников с целью выявления признаков эксплуатации уязвимости.
Из интересного и нового только рекомендуемые плановые сроки установки обновлений:
⚡️ 5 дней – для доступного из сети Интернет
⚡️ 7 дней – для ОС и приложений
⚡️ 14 дней – для внутренних и автономных сервисов и ПО
#cve #cvss #vulnerability #prioritization
В целом, сложно выделить какие-то новые полезные советы – собраны уже очевидные на текущий момент рекомендации:
Из интересного и нового только рекомендуемые плановые сроки установки обновлений:
#cve #cvss #vulnerability #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
ncsc_vm_2024.jpg
502.4 KB
Плакат с основными положениями из руководства по управлению уязвимостями NCSC без сжатия.
p.s. Утащил у VulnCheck😇
p.s. Утащил у VulnCheck
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
Большое сравнение SAST- и DAST-инструментов по функционалу — субъективное, но полезное для первоначального ознакомления👀
Сравнивали следующие решения:
🟢 CheckMarx One Platform
🟢 Veracode
🟢 Rapid7 AppSpider (InsightAppSec Edition)
🟢 Wiz.IO
🟢 Fortify Static Code Analyzer
🟢 Acunetix
🟢 Invicti/NetSparker
🟢 CloudDefense.AI
🟢 Rapid7 Insight
🟢 Fortify WebInspect
🟢 SonarQube
https://github.com/bcdannyboy/EnterpriseSASTDASTProductLandscape
#sast #dast #appsec #devsecops
Сравнивали следующие решения:
https://github.com/bcdannyboy/EnterpriseSASTDASTProductLandscape
#sast #dast #appsec #devsecops
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - bcdannyboy/EnterpriseSASTDASTProductLandscape: Analysis of the Enterprise SAST/DAST product landscape
Analysis of the Enterprise SAST/DAST product landscape - bcdannyboy/EnterpriseSASTDASTProductLandscape
👍11👏2👎1
В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁
#cve #vulnerability #prioritization #appsec
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно
#cve #vulnerability #prioritization #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2
До чего дошел прогресс! Для CISO и всех кто выгорает в ИБ записали целых 13 медитативных трека, чтобы можно было отдохнуть от бесконечных алертов, паники, вызванный взломом в 2 часа ночи, и классического "скорее всего, ничего" переходящего в "нам надо срочно созвониться"😂
Ребята из компании Wiz, конечно, знатно поработали и выдали интересный контент👍
Я до последнего верил, что они и приложение сделали мобильное, но увы — пока только потроллили😏
А ещё мне их набор карточек "CISOasis Meditation Cards" для медитации понравился — хорошая идея для подарка директору по кибербезопасности🙂
#ciso #meditation
Ребята из компании Wiz, конечно, знатно поработали и выдали интересный контент
Я до последнего верил, что они и приложение сделали мобильное, но увы — пока только потроллили
А ещё мне их набор карточек "CISOasis Meditation Cards" для медитации понравился — хорошая идея для подарка директору по кибербезопасности
#ciso #meditation
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14
Ребята из OWASP наглядно демонстрируют к чему может привести реализация "A05:2021 – Security Misconfiguration" из OWASP Top 10:2021😁
p.s. А может ещё и "A06:2021 – Vulnerable and Outdated Components"😏
#owasp #breach
p.s. А может ещё и "A06:2021 – Vulnerable and Outdated Components"
#owasp #breach
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👏3
Помимо вышеуказанного, информация о CWE будет доступна по API и транслироваться на портал CVE.org и в базу NVD.
#cve #cvss #cwe #microsoft
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1
Интересная презентация про то, как не построить буллшитный SOC/команду SecOps, от Марка Симоса (архитектор КБ из Microsoft, соавтор Microsoft Security Adoption Framework).
В презентации описываются типичные ошибки в подходах при выстраивании работы SOC/SecOps, рекомендации как этого избежать, как измерить эффективность, про использование ИИ, а также наше любимое – как избегать выгорания сотрудников🔥
#soc #secops #architecture
В презентации описываются типичные ошибки в подходах при выстраивании работы SOC/SecOps, рекомендации как этого избежать, как измерить эффективность, про использование ИИ, а также наше любимое – как избегать выгорания сотрудников
#soc #secops #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
"Cyber Security Behaviour Tracker" — довольно интересное исследование новозеландского CERT, целью которого является измерение отношения/поведения местного населения в области кибербезопасности и опыта столкновения с различными типами кибермошенничества.
В целом – ничего нового, просто хорошее исследование и свежая статистика по векторам атак и поведенческим паттернам.
#awareness #phishing #training
В целом – ничего нового, просто хорошее исследование и свежая статистика по векторам атак и поведенческим паттернам.
#awareness #phishing #training
👌3👍2🔥1
Тем временем Forrester констатировал, что "классическое" повышение осведомлённости, базирующееся на использовании решений SA&T (Security Awareness and Training), мертво — наступила эра решений HRM (Human Risk Management)🤔
На скриншотах можно увидеть сценарии использования решений HRM и описание функциональности, которые я стащил отсюда😅
В общем-то, проблемы и недостатки классического "аварнесса" очевидны — "человек не исправим", а если служба ИБ ещё зациклится на классических метриках типа "сколько кликнуло по ссылке/сколько ввело учётные данные/сколько обучилось", то можно пошатнуть психологическое здоровье сотрудников компании🫠
Ок, что тогда делать? Приходим к мысли формирования группы повышенного риска — тоже очевидная вещь, которой скоро будет десяток лет. А дальше? Дальше надо ставить особо доверчивых сотрудников "на карандаш" — т.е. как минимум сообщать коллегам из SOC, чтобы их взяли под особый контроль, и применять более "жесткие" политики средств защиты и мониторинга. HRM-платформы призваны решить проблемы, связанные с более точным определением уровней риска, групп риска и интеграции с различными техническими средствами защиты, с целью автоматизации реагирования на "приоритетные риски", рождаемые невнимательными сотрудниками.
А в целом, интеграция решений класса SA&T или HRM в единую систему защиты всегда неизбежна, хотя бы для того, чтобы нормально сформировать группы риска, учитывающие различные критерии поведения сотрудников💯
#hrm #awareness #riskmanagement #training
На скриншотах можно увидеть сценарии использования решений HRM и описание функциональности, которые я стащил отсюда
В общем-то, проблемы и недостатки классического "аварнесса" очевидны — "человек не исправим", а если служба ИБ ещё зациклится на классических метриках типа "сколько кликнуло по ссылке/сколько ввело учётные данные/сколько обучилось", то можно пошатнуть психологическое здоровье сотрудников компании
Ок, что тогда делать? Приходим к мысли формирования группы повышенного риска — тоже очевидная вещь, которой скоро будет десяток лет. А дальше? Дальше надо ставить особо доверчивых сотрудников "на карандаш" — т.е. как минимум сообщать коллегам из SOC, чтобы их взяли под особый контроль, и применять более "жесткие" политики средств защиты и мониторинга. HRM-платформы призваны решить проблемы, связанные с более точным определением уровней риска, групп риска и интеграции с различными техническими средствами защиты, с целью автоматизации реагирования на "приоритетные риски", рождаемые невнимательными сотрудниками.
А в целом, интеграция решений класса SA&T или HRM в единую систему защиты всегда неизбежна, хотя бы для того, чтобы нормально сформировать группы риска, учитывающие различные критерии поведения сотрудников
#hrm #awareness #riskmanagement #training
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Компания Edgescan пару недель назад опубликовала ежегодное (уже девятое) исследование с аналитикой на тему управления уязвимостями в организациях, которые используют её решения.
Из основных выводов:
➡️ Среднее время устранения критических (по уровню CVSS) веб-уязвимостей составляет 35 дней, а критических уязвимостей хоста, доступного из сети Интернет – 61 день.
➡️ В инфраструктуре организаций до сих пор находятся уязвимости, выявленные в ещё в 2015 году.
➡️ В топ-3 веб-уязвимостей входят SQL-инъекции, хранимые XSS и неограниченная загрузка файла с опасным типом.
Для себя ещё выделил информацию (на скринах) об уязвимостях, в отношении которых были приняты риски, и статистику по наиболее встречающимся уязвимостям в разрезе сфер функционирования организаций🧐
#cve #vulnerability #research #cvss
Из основных выводов:
Для себя ещё выделил информацию (на скринах) об уязвимостях, в отношении которых были приняты риски, и статистику по наиболее встречающимся уязвимостям в разрезе сфер функционирования организаций
#cve #vulnerability #research #cvss
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6