Как-то пропустил, что летом SANS опубликовал (нужен vpn) ежегодное исследование о состоянии программ повышения осведомленности в области информационной безопасности🕐
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит🤔

Давайте начнем с главных выводов:
➡️"Чем больше ваша команда (прим. - по security awareness, далее буду сокращать до SA), тем более зрелой является ваша SA-программа".
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает🤔 Зачем тогда это декларировать в начале отчета?
➡️"Оплата труда SA-специалистов очень сильно отличается от региона, опыта, отрасли и зрелости SA-программы"🗿
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики📕
➡️"Большинство SA-специалистов счастливы, работая в своем направлении, но кто-то хотел бы сменить место работы"
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?🙂

Я заглянул глубже в документ и еще больше забрюзжал...
🔘"Сравнение уровней зрелости SA-программ — большинство опрошенных сообщили, что достигли среднего уровня зрелости (по модели SANS), т.е. процесс постоянен, разнообразен и изменения (риски и поведение) отслеживаются."
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
🔴"Основные человеческие риски (см. скрин № 3):
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"
Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов📌
🔘"Основные причины сложности развития SA-программ — нехватка времени, персонала, денег"😑
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
🟣"Название вашей SA-программы".
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ🧐
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся😅
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
🟡"Кому подчиняются SA-специалисты".
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно😄
⚫️"Главные противники внедрения и развития SA-программы".
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации🤬
А там еще и финансисты подступают! Ох, эта битва будет легендарной🙂
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.

Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"🗃

Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного💯

На этом всё, далее изучайте документ сами🙂

#awareness #riskmanagement

Кстати, приближается месяц повышения осведомлённости в ИБэ, т.е. октябрь🔔
И всё тот же институт SANS объявил, что в этом году необходимо уделить внимание вопросу безопасного использования искусcтвенного интеллекта📚
Для этого был подготовлен набор материалов, среди которых можно найти шаблон политики использования ИИ в организации, видеоролик об использовании ИИ и набор инфографики, демонстрирующий преимущества и риски использования ИИ. Можно взять за основу для разработки своих обучающих плакатов.
p.s. Ниже прикрепил архив с этими материалами без "тяжелого" видеоролика и фонов для зума.

#awareness #ai #training #infographics

Gartner констатирует, что многие организации продолжают использовать одинаковый набор мер для защиты серверной инфраструктуры и конечных устройств, несмотря на подверженность их разным угрозам, различия в бизнес-критичности и ценности этих активов⚠️

Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (🖥 см. первый скрин).
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом💻

В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (🖥 см. второй скрин).

Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.

#controls #gartner

"Парольная" выдалась неделька😁

1️⃣Команда исследователей из Proton заглянула (нужен VPN) ещё раз в дарквеб и посмотрела что там по личным данным депутатов и иных сотрудников правительств (USA, FR, GB, EU) есть интересного. Оказывается, много чего, в т.ч. и почтовые переписки с паролями💬
Депутаты тоже люди и не брезгуют регистрацией в различных сервисах и социальных сетях, указывая рабочую почту.
p.s. Русский след тоже упомянули👀

2️⃣ Уже много кто написал про внесение изменений (ещё не утверждённые) в стандарт NIST Special Publication 800-63-4, где торжественно повторили, что не надо заставлять периодически менять пароли (надо только по запросу или при компрометации), а ещё запретили требовать использование различных категорий символов в паролях, запретили банальные контрольные вопросы (типа "как зовут твою собаку?") и запретили запрещать использование пробела в паролях🥳

3️⃣ Всё было бы хорошо с вышеуказанными изменениями в требованиях к паролям, если бы не человеческая природа и поведение🫤
В свежем ежегодном исследовании "Oh, Behave!" от Cybsafe убеждаемся, что в мире всё стабильно: второй год подряд процент опрошенных, включающих в свои пароли личную информацию, такую ​​как имена членов семьи или домашних животных, увеличивается.
Более того, 40% участников исследования используют в качестве пароля одно словарное слово или чьё-то имя😭
p.s. Напомню, что в документе по результатам исследования "Oh, Behave!" можно узнать как различные поколения людей относятся к рискам и правилам кибербезопасности. В этом году также добавили раздел про использование искусственного интеллекта. Ниже прикрепил сам документ.

#password #breach #behave #awareness

Ещё одна база инцидентов в закладки 📌

Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API🛠
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.

Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них📝

#api #threat #matrix

Сложности управления уязвимостями в управлении зависимостями🛠

В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.

➡️Управление зависимостями сводится к эффективной приоритизации.
🟠Отмечается, что только менее 9,5% уязвимостей могут быть проэксплуатированы на уровне функций (как элемента программного кода), т.к. для успеха необходима как минимум возможность вызова уязвимой функции при работе приложения. Таким образом, самым важным критерием приоритизации здесь служит анализ достижимости (reachability analysis), подразумевающий определение того, может ли приложение, имеющее уязвимую функцию, быть выполнено таким образом, чтобы уязвимая функция тоже была выполнена.
🟠Вторым важным критерием приоритизации является использование оценки EPSS. Исследователи рассчитали, что 4 из 5 "достижимых" уязвимостей имеют прогнозируемую вероятность эксплуатации в 1% и менее. Таким образом, совместное использование анализа достижимости и EPSS приводит к тому, что исправлению будет подлежать около 2% всех выявляемых уязвимостей🆒
🟠В то же время, подчеркивается, что устранение уязвимостей требует обновления до мажорной версии зависимости в 24% случаев, минорные обновления могут потенциально "сломать" приложение в 94%, а патчи имеют 75% шанс тоже всё сломать💻
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.

➡️Управление зависимостями невозможно только с помощью публичных баз данных уязвимостей.
🟠69% бюллетеней безопасности публикуются после выпуска обновлений безопасности со средней задержкой в 25 дней, что увеличивает "окно возможностей" для злоумышленников.
🟠В шести базах данных уязвимостей 47% записей не содержат никакой информации об уязвимостях на уровне кода, 51% записей содержит одну или несколько ссылок на коммиты-исправления и только 2% записей содержат информацию об уязвимых функциях🧐
🟠В четверти записей в различных базах данных уязвимостей содержится некорректная или неполная информация, а порой она отличается от базы к базе.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.

➡️Использование ИИ-инструментов облегчает процесс разработки, но усложняет управление зависимостями.
🟠Информация об уязвимых библиотеках для машинного обучения и искусственного интеллекта может существенно различаться в публичных базах данных. Расхождения могут достигать 10%.
🟠В приложениях для ИИ/МО очень часто встречаются "фантомные" зависимости, т.е. зависимости, которые явно не описаны (в манифесте). В первую очередь это связано с тем, что такие приложения в большинстве случаев пишутся на python, где подключают зависимости где и когда угодно😅
🟠При этом 56% выявляемых уязвимостей скрываются как раз в "фантомных" зависимостях, что затрудняет их обнаружение SCA-инструментами.

#dependency #cve #prioritization #epss #vm