Компания Edgescan пару недель назад опубликовала ежегодное (уже девятое) исследование с аналитикой на тему управления уязвимостями в организациях, которые используют её решения.

Из основных выводов:
➡️Среднее время устранения критических (по уровню CVSS) веб-уязвимостей составляет 35 дней, а критических уязвимостей хоста, доступного из сети Интернет – 61 день.
➡️В инфраструктуре организаций до сих пор находятся уязвимости, выявленные в ещё в 2015 году.
➡️В топ-3 веб-уязвимостей входят SQL-инъекции, хранимые XSS и неограниченная загрузка файла с опасным типом.

Для себя ещё выделил информацию (на скринах) об уязвимостях, в отношении которых были приняты риски, и статистику по наиболее встречающимся уязвимостям в разрезе сфер функционирования организаций🧐
#cve #vulnerability #research #cvss

Встречаем и изучаем очередное исследование "2024 Verizon Data Breach Investigations Report (DBIR)". По традиции много букв, цифр и статистики по итогам анализа более 30 тысяч инцидентов ИБ.

Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно😁

Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:

...the median time to click on a malicious link after the email is opened is 21 seconds and then only another 28 seconds for the person caught in the phishing scheme to enter their data. This leads to an alarming finding: The median time for users to fall for phishing emails is less than 60 seconds.

Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше😐
Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд😐

А в целом, читайте отчет и черпайте для себя полезную информацию👍
#dfir #breach #phishing #research

Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️).

На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐
#cve #cisa #kev #priortization #research

Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔

Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨‍💻

Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
➡️Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять).
➡️Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже.
➡️Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию.

Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?

В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости

🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄
#cve #vulnerability #prioritization #ssvc #patchmanagement

CSA (Cloud Security Alliance) завершила цикл документов "The Six Pillars of DevSecOps" выпуском про мониторинг и измерение эффективности внедряемого процесса DevSecOps в организациях🛠

В работе подробно рассмотрены:
➡️Важные метрики, связанные с подпроцессами устранения уязвимостей, моделирования угроз и мер защиты, а также реагирования на инциденты.
➡️Сравнение уровней зрелости команд/организаций на основании OWASP DevSecOps maturity model (DSOMM).
➡️Универсальная схема процесса DevSecOps, включающая в себя основные этапы, виды деятельности и инструменты, позволяющая оценить и наметить точки мониторинга и измерения эффективности.
➡️Перечень возможных метрик, которые можно обсчитывать на каждом этапе процесса DevSecOps, для оценки эффективности и уровня его зрелости.

#devsecops #dsomm #metrics #maturity