Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️ ).
На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐
#cve #cisa #kev #priortization #research
На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей
#cve #cisa #kev #priortization #research
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
На днях агентство CISA объявило о запуске полезного проекта CISA Vulnrichment, целью которого является обогащение информации об уязвимостях для упрощения (полуавтоматизации) процесса приоритизации устранения в соответствии с методикой SSVC👍
В рамках данного проекта производится обогащение записей CVE информацией для таких критериев (точек принятия решений) методики SSVC как:
➡️ Exploitation (состояние эксплуатации)
➡️ Automatable (автоматизируемость эксплуатации)
➡️ Technical Impact (техническое воздействие)
Если вышеуказанные критерии получают значения "Active Exploitation/Proof of Concept", "Automatable" и "Total Technical Impact" соответственно, то проводится более глубокий анализ уязвимости и дополнительно изучается/уточняется/обогащается информация о дефекте CWE, оценке CVSS и строке CPE🔥
CISA обещает, что в ближайшее время проект будет активно развиваться и получать новый функционал👌
#ssvc #cisa #prioritization #cve #cwe #cpe #cvss
В рамках данного проекта производится обогащение записей CVE информацией для таких критериев (точек принятия решений) методики SSVC как:
Если вышеуказанные критерии получают значения "Active Exploitation/Proof of Concept", "Automatable" и "Total Technical Impact" соответственно, то проводится более глубокий анализ уязвимости и дополнительно изучается/уточняется/обогащается информация о дефекте CWE, оценке CVSS и строке CPE
CISA обещает, что в ближайшее время проект будет активно развиваться и получать новый функционал
#ssvc #cisa #prioritization #cve #cwe #cpe #cvss
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡2👍2
Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔
Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨💻
Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
➡️ Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять).
➡️ Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже.
➡️ Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию.
Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?
В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости
🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄
#cve #vulnerability #prioritization #ssvc #patchmanagement
Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе
Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?
В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости
#cve #vulnerability #prioritization #ssvc #patchmanagement
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Очередная подборка книг по кибербезопасности от издателя Pearson на Humble Bundle🤓
Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть🥲
В бандле следующие книги:
➡️ CompTIA Security+ SY0-701 Cert Guide - 2024
➡️ Network Security, 3rd Edition - 2022
➡️ Zero Trust Architecture - 2023
➡️ Cybersecurity Myths and Misconceptions - 2024
➡️ In Zero Trust We Trust - 2024
➡️ Database and Application Security: A Practitioner's Guide - 2024
➡️ Ransomware and Cyber Extortion - 2022
➡️ Designing and Developing Secure Azure Solutions
➡️ The Modern Security Operations Center - 2021
➡️ A Practical Guide to Digital Forensics Investigations, 2nd Edition - 2021
➡️ Data Breaches - 2019
➡️ Microsoft Defender for Cloud - 2022
➡️ Microsoft Sentinel, 2nd Edition - 2022
➡️ Effective Cybersecurity - 2021
➡️ Information Privacy Engineering and Privacy by Design - 2021
➡️ Building a Career in Cybersecurity - 2023
➡️ Microsoft Azure Network Security - 2021
➡️ Securing 5G and Evolving Architectures - 2021
p.s. Не самый топовый бандл, но в подборке есть хорошие книги.
Половину из них точно можно найти в "свободном" доступе😏
#book #cybersecurity
Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть
В бандле следующие книги:
p.s. Не самый топовый бандл, но в подборке есть хорошие книги.
Половину из них точно можно найти в "свободном" доступе
#book #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Humble Bundle
Humble Tech Book Bundle: Cybersecurity by Pearson
Go all-in on cybersecurity with this book bundle, covering fundamentals and credentialing, to cutting-edge concepts & beyond! Your purchase helps charity.
👍2🤔2
CISO одной американской организации получил письмо-уведомление об утечке данных в результате кибератаки на AT&T и разнёс их в пух и прах😅
Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений😕
Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать).
p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход🤔
#ciso #breach #humor
Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений
Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать).
p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход
#ciso #breach #humor
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2😁1🤡1
CSA (Cloud Security Alliance) завершила цикл документов "The Six Pillars of DevSecOps" выпуском про мониторинг и измерение эффективности внедряемого процесса DevSecOps в организациях🛠
В работе подробно рассмотрены:
➡️ Важные метрики, связанные с подпроцессами устранения уязвимостей, моделирования угроз и мер защиты, а также реагирования на инциденты.
➡️ Сравнение уровней зрелости команд/организаций на основании OWASP DevSecOps maturity model (DSOMM).
➡️ Универсальная схема процесса DevSecOps, включающая в себя основные этапы, виды деятельности и инструменты, позволяющая оценить и наметить точки мониторинга и измерения эффективности.
➡️ Перечень возможных метрик, которые можно обсчитывать на каждом этапе процесса DevSecOps, для оценки эффективности и уровня его зрелости.
#devsecops #dsomm #metrics #maturity
В работе подробно рассмотрены:
#devsecops #dsomm #metrics #maturity
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥1
TrendMicro поделились советами (для большинства уже очевидными) как CISO достучаться до руководства компании и донести важность ИБ-рисков:
1️⃣ Разговаривайте на простом языке, не используя профессиональный жаргон или сокращения.
2️⃣ Стратегия кибербезопасности должна быть согласована с бизнес-целями компании.
3️⃣ Сосредоточьте внимание на явных рисках, которые могут помешать достижению бизнес-целей.
4️⃣ Используйте в отчетности соответствующие данные и метрики, понятные бизнесу.
5️⃣ Докладывать надо кратко и лаконично, но часто — чтобы показывать руководству скоротечность изменений ИБ-рисков.
6️⃣ Не пренебрегайте построением благоприятных межличностных отношений с руководством.
p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.
#ciso #board
p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.
#ciso #board
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤗1
Универсальная модель угроз для облачной инфраструктуры от PrimeHarbor Technologies and Securosis☁️
В документе описываются присущие любой облачной инфраструктуре типы злоумышленников, их цели, объекты атак, векторы и последовательность атак. В конце данной модели угроз приведен разбор пяти распространенных видов атак.
p.s. Обратите внимание на последний пункт в перечне типов злоумышленников😁
#cloud #threat #modelling
В документе описываются присущие любой облачной инфраструктуре типы злоумышленников, их цели, объекты атак, векторы и последовательность атак. В конце данной модели угроз приведен разбор пяти распространенных видов атак.
p.s. Обратите внимание на последний пункт в перечне типов злоумышленников
#cloud #threat #modelling
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤮1