TrendMicro поделились советами (для большинства уже очевидными) как CISO достучаться до руководства компании и донести важность ИБ-рисков:
1️⃣ Разговаривайте на простом языке, не используя профессиональный жаргон или сокращения.
2️⃣ Стратегия кибербезопасности должна быть согласована с бизнес-целями компании.
3️⃣ Сосредоточьте внимание на явных рисках, которые могут помешать достижению бизнес-целей.
4️⃣ Используйте в отчетности соответствующие данные и метрики, понятные бизнесу.
5️⃣ Докладывать надо кратко и лаконично, но часто — чтобы показывать руководству скоротечность изменений ИБ-рисков.
6️⃣ Не пренебрегайте построением благоприятных межличностных отношений с руководством.

p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.

#ciso #board

Очередная аналитика по уязвимостям — на этот раз по уязвимостям в ПО, используемом в корпоративной среде🧑‍💻
Большая часть рассматриваемого ПО используется (пока) и в российских организациях, а в целом популярно и в "частном секторе", поэтому полистать отчет можно.

Из интересных метрик можно выделить рейтинг (уровень) эксплуатации (exploitation rate) — соотношение эксплуатируемых уязвимостей к общему количеству выявленных в конкретном ПО за отчетный период. Значения метрики для различных категорий ПО, используемого в качестве корпоративного стандарта, можно увидеть на скрине. Очевидно, что чем выше значение, тем быстрее надо задумываться насчет отказа от использования такого ПО🙂

Ещё немного о ключевых выводах:
🟡Балансировщики нагрузки стали привлекательной целью для злоумышленников — уязвимости в NGINX и Citrix (в 2023 году) стали довольно "громкими", т.к. несмотря на малое кол-во выявленных в них уязвимостей почти все они эксплуатировались в живую, а само ПО является "отличной" точкой входа в инфраструктуру жертвы.
🟡ОС от Apple также становятся всё более популярнее — несмотря на общее снижение кол-ва уязвимостей в операционных системах, кол-во эксплуатируемых существенно выросло, что в процентном соотношении хуже, чем у ОС семейства Windows...
Причем на мобильных iOS тоже всё не очень хорошо — рейтинг эксплуатации составлял 8%, а у Android всего-то 0,2%! Дожили😂
🟡Число дыр в MS SQL выросло на 1600% — в 2023 году было выявлено 17 уязвимостей и все они были RCEшками.
🟡MS Windows Server 2016 стал абсолютным чемпионом по общему кол-ву уязвимостей, среди них 177 RCE.
🟡MS Office стабильно в лидерах среди критичных уязвимостей с высоким рейтингом эксплуатации, а браузер Edge перегнал Chrome по наличию RCE-дыр💪
🟡А что там с семейством ОС Linux? Да, в целом, получше чем у MacOS и Windows, но кол-во уязвимостей также растет, в т.ч и RCE, но их критичность всё же среднего уровня, что немного успокаивает.
🟡Отдельно отмечу сравнение антивирусов — радует, что антивирус Касперского положительно выделяется среди коллег, жаль только, что скорее всего в следующем году он исчезнет из корпоративных наборов ПО в иностранных компаний в связи с многочисленными санкциями🥲

#cve #vulnerability #exploitation #rce #vm

Ребята из Wiz запустили обновленную версию базы знаний по мерам защиты облачной инфраструктуры. Помимо описания самих мер в базе содержится информация о техниках злоумышленников, от которых помогут защититься эти меры, и сопоставление с тактиками защиты из матрицы MITRE D3FEND🛠.
Вышеуказанная база знаний является частью большой базы данных об угрозах облачной инфраструктуры Cloud Threat Landscape от Wiz.

В честь запуска новой версии базы знаний также выпустили инфографику в виде "периодической таблицы" мер защиты облачной инфраструктуры📌

#cloud #threat #mitre #defend