На скрине можно увидеть пример утечки не-человеческого идентификатора (NHI2:2025 Secret Leakage) и оперативное обновление политики безопасности сервиса🤣

p.s. Шутка шуткой, но... мало ли? Может стоит обновить политики?👀

Компания Wiz запустила новую базу данных "действительно важных" уязвимостей с прицелом на облачные инфраструктуры🛠

Для каждой записи есть информация об оценке CVSS, EPSS, наличии эксплойтов, информации из каталога CISA KEV, информация об уязвимом компоненте (cpe-запись).
Разработчики акцентируют внимание на том, что обогащают информацию об уязвимости своей экспертизой. В частности, осуществляют профилирование по уровню серьезности угрозы (параметр High-profile Vulnerability) и с помощью прикрученного ИИ выдают более точное описание технических деталей, возможного влияния на инфраструктуру, мер митигации.

p.s. В 2022 году Wiz уже запускала базу данных уязвимостей CloudVulnDB с той же целью, но видимо решила отправить её в свободное плавание🤔

#wiz #cve #nvd #cloud #cvss #epss #prioritization #vulnerability

Если вас вдруг волновал вопрос, можно ли сливать в популярные ИИ-инструменты конфиденциальную информацию и секреты, то вот заключение от известной юридической фирмы Vischer по итогам анализа пользовательских соглашений и условий использования различных подписок/тарифов таких сервисов, как ChatGPT, Microsoft Copilot и Geminiℹ️

Товарищ Рафик предлагает CISO в ближайший год-полтора заняться следующими вопросами:
🟡Обеспечением безопасности генеративного ИИ — правила использования разработать, ИИ-инструменты подобрать и требования к ним утвердить, обучить сотрудников работе с ними и процессы ИБ натянуть обновить под новые технологии.

🟡Консолидацией и рационализацией инструментов безопасности — ROI посчитать, опенсорс подыскать, а если опенсорса подходящего нет, то выбрать хорошее коммерческое решение с приличным API.

🟡Выявлением и управлением долгом безопасности — покопаться в тикетах, оценить время/деньги на их закрытие и руководству показать в отчетности (в деньгах, конечно же).

🟡Программами-вымогателями и киберустойчивостью — учения провести, оценить возможное влияние, бэкапы проверить и страховку "на всякий случай" купить.

🟡Созданием "значимых" метрик — считать не всё подряд, а лишь то, что влияет на уровень риска, а точнее его снижение, не забывая про эффективность мер защиты и автоматизацию подсчёта метрик.

🟡Улучшением кибергигиены — отслеживаем цифровой след организации и сотрудников, сокращаем поверхность атаки, улучшаем безопасность API, не усложняем процессы, не забываем про управление рисками третьих сторон.

#ciso #midmap #кратко

Наткнулся на годовой отчет деятельности польского CERT: оказался довольно интересный документ, где помимо ландшафта угроз и статистики по инцидентам авторы поделились реализованными инициативами, мероприятиями и сервисамиℹ️

Для себя отметил пару инициатив, направленных на повышение осведомлённости населения:
🔔В приложении польского аналога Госуслуг была добавлена "Служба сетевой безопасности", которая позволяет пользователям получать пуш-уведомления об актуальных киберугрозах. Эти уведомления могут касаться конкретных мошеннических кампаний или увеличения активности известных видов мошенничества.

Это хороший канал оповещения граждан об угрозах, тем более что приложение отечественных Госуслуг обладает необходимым функционалом: осталось только наладить оперативное получение информации о массовых "акциях" от кого-то (НКЦКИ? МВД? Минцифра?) и передавать её в пуш-сообщениях👍
Также можно вести базу мошеннических кампаний: в приложении и на сайте Госуслуг есть раздел с описанием различных видов мошенничества и советами по безопасности, осталось только его дополнить и постоянно обновлять. А может, стоит сделать интеграцию с порталом по информационной безопасности в сети (safe-surf.ru)😉

💬Вторая инициатива польского CERT — это бесплатный телефонный номер для приема сообщений о подозрительных SMS-сообщениях.

Ещё один интересный канал для сообщения о подозрительных сообщениях: возможно, он был бы удобнее для старшего поколения, которому проще, понятнее и быстрее отправить SMSку, чем зайти на сайт или в приложение Госуслуг, чтобы подать сведения о возможных вредоносных ресурсах в ИС "Антифишинг", о которых, кстати, не очень удобно сообщать (об этом писал Алексей Лукацкий).

#awareness #госуслуги #phishing #фишинг #мошенничество

Если кто не знает, то есть такой сервис arXiv.org, представляющий собой электронный архив с открытым доступом для научных статей и препринтов по различным направлениям📖
На этом портале можно найти много полезных публикаций, но система фильтров и поиска не очень удобна, поэтому ИБ-энтузиасты сделали ресурс CyberSec Research, который позволяет удобно и быстро находить статьи на тему информационной безопасности, размещенные на arXiv, по различным фильтрам👍

#research #arxiv #исследования

Мне тут подсказали, что есть более удобный способ поиска публикаций, размещенных на arXiv: на ресурсе alphaxiv, созданном для возможности обсуждения и комментирования публикаций с arXiv, недавно прикрутили ИИ-ассистента, который позволяет быстро находить публикации по соответствующему запросу, в т.ч. на русском языке👍

#research #arxiv #исследования #ai

Карта бизнес-знаний директора по информационной безопасности и подборка публикаций о том, как бизнес-знания могут помочь CISO создать эффективную систему безопасности💼

#mindmap #business #ciso

Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔

В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.

Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?

Рекомендуемые критерии выбора и оценки инструментов:
🟠Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.

#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm

🆕Выпущена новая версия MITRE ATT&CK (v.17)🆕

Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества📕

Для себя отметил следующие интересные изменения:
➡️Добавлена матриц тактик и техник для платформы ESXi, в которую включили 30 адаптированных уже имеющихся в каталоге техник и 4 новых специфичных техники (T1675, T1059.12, T1505.006, T1673).
➡️Добавлены техники, связанные с методами социальной инженерии – T1667: Email Bombing и T1204: Malicious Copy and Paste. Техники сами по себе давно известные, но авторы посчитали, что только сейчас пришло время их добавить, т.к. они "стали популярны в последнее время" у злоумышленников.
➡️Добавили интересную технику T1668: Exclusive Control, которая описывает действия злоумышленников по недопущению "коллег по цеху" на скомпрометированную ими систему😁 Чтобы не делиться с конкурентами захваченной инфраструктурой злоумышленник может "любезно" пропатчить ваш уязвимый хост, благодаря которому он проник в вашу сеть, или отключить ненужные службы и отобрать привилегированный доступ у скомпрометированный учетной записи😊
➡️T1219.003: Remote Access Tools: Remote Access Hardware – техника использования легитимного оборудования для удаленного доступа, эдакий интерактивный бэкдор для обхода программной защиты. Злоумышленники могут использовать KVM-устройства (например, TinyPilot, PiKVM) для получения удаленного доступа к системе.
➡️Среди кампаний стоит отметить добавление операции «Триангуляция», обнаруженную специалистами Лаборатории Касперского.
➡️В целом, обновлений действительно много – только техник было добавлено более 25 штук. Стоит также отметить, что авторы также оптимизировали описание мер защиты и увеличили число практических примеров их использования👏

#mitre #attack #technique #ttp #apt

За неделю вышло несколько интересных исследований, которые стоит почитать📖

✨2025 Data Breach Investigations Report — очередное (18-е) ежегодное исследование компании Verizon об инцидентах ИБ и тенденциях кибербезопасности. В этот раз констатируют рост эксплуатации уязвимостей, рост количества инцидентов из-за подрядчиков и сохраняющуюся угрозу со стороны программ-вымогателей и социальной инженерии.

✨IBM X-Force 2025 Threat Intelligence Index — ещё одно обширное ежегодное исследование ландшафта киберугроз от IBM. В отчете отмечается увеличение использования скомпрометированных учетных данных и активное применение облачных сервисов злоумышленниками. Особое внимание уделено инфостилерам и использованию ИИ в кибератаках.

✨FBI Internet Crime Report — хоть и не такой глобальный как предыдущие исследования, но не менее интересный документ от Центра приема жалоб на интернет-преступления ФБР о киберпреступлениях и интернет-мошенничестве.

✨The Cyber Resilience Compass: Journeys Towards Resilience — брошюра от Всемирного экономического форума, в которой рассматриваются практические аспекты достижения киберустойчивости организациями. Полезно тем, что в документе приводятся практические примеры и советы от лидеров рынка и индустрии.

✨Курс на киберустойчивость: как изменились стратегии CISO — можно сказать, что уже ежегодное (2-е) исследование от Инфосистемы Джет на тему состояния ИБ в российских организациях.

p.s. Все отчёты доступны без регистрации.

#digest #report #cyberresilience #threat #ciso