Gartner опубликовал свежую кривую хайпа технологий, используемых для операций ИБ – Hype Cycle for Security Operations 2025🔥
Для наглядности также приложил версию 2024 года.
Пожалуй, главным изменением по сравнению с 2024 годом является "объявление смерти" для решений класса EASM (External Attack Surface Management) и CAASM (Cyber Asset Attack Surface Management) до выхода на плато продуктивности.⚰️
В целом, это было довольно ожидаемо, учитывая, что на пике сейчас решения класса TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms), которые объединили в себе функционал вышеуказанных решений.
С таким подходом к выделению отдельных решений с узким функционалом и количеством акронимов (и аббревиатур) можно каждый год что-то "рожать и хоронить" 😵
#gartner #easm #caasm #ctem #eap #secops #drp
Для наглядности также приложил версию 2024 года.
Пожалуй, главным изменением по сравнению с 2024 годом является "объявление смерти" для решений класса EASM (External Attack Surface Management) и CAASM (Cyber Asset Attack Surface Management) до выхода на плато продуктивности.
В целом, это было довольно ожидаемо, учитывая, что на пике сейчас решения класса TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms), которые объединили в себе функционал вышеуказанных решений.
#gartner #easm #caasm #ctem #eap #secops #drp
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤5👍3👀1
Ещё одна методика приоритизации устранения уязвимостей
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
Из основных плюсов:
Из явных минусов:
Ссылки:
#cvss #sscv #prioritization #vm #vulnerability #context
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
#mitre #matrix #appsec #application #ttp #mitigation
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍6🤡1
Пару месяцев назад институт NIST опубликовал технический документ, в котором представил методику расчета метрики LEV (Likely Exploited Vulnerabilities, вероятно эксплуатируемые уязвимости):
При этом подчеркивается, что LEV должен обязательно использоваться совместно с EPSS и/или KEV
На сколько эффективна метрика LEV?
Исследователь Крис Мэдден опубликовал инструмент для расчета метрики LEV и поделился результатами сравнительного анализа EPSS, KEV и LEV:
И что в итоге?
Решает ли LEV проблему приоритизации? Думаю, что однозначно нет. Всё-таки когда новая метрика базируется на не совсем прозрачной модели (EPSS), то она содержит те же ограничения и потенциальные математические недочеты, что и ее "родитель".
К тому же, нам всё равно приходится принимать довольно серьезные риски, устанавливая "рекомендуемые кем-то" пороговые значения для оценок EPSS и LEV, и тем самым отбрасывая большое количество потенциально опасных уязвимостей, которые мы не собираемся исправлять.
По моему мнению, LEV может помочь в более оперативном пополнении каталогов и ресурсов типа KEV: вендоры, TI-специалисты и исследователи могли бы сосредоточить свои усилия на поиске фактов эксплуатации уязвимостей с высоким значением метрики LEV
Полезное о LEV:
#cve #vm #lev #kev #epss #vulnerability #risk #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Для каждой уязвимости есть:
Выглядит солидно, даже темная тема есть
Добавил на страничку закладок по теме VM
#vm #vulnerability #dbugs #trends #nvd #bdu #cisa
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🔥5❤4🥴3👎2💩2🤡1
AI Controls Matrix (AICM) — ещё один фреймворк, содержащий набор мер управления для безопасной разработки, внедрения и эксплуатации облачных систем искусственного интеллекта от Cloud Security Alliance🧠
Фреймворк включает в себя:
🟡 Матрицу мер управления, включающую в себя 243 контроля, сгруппированных по 18 доменам безопасности. Каждая мера привязана к типу/компоненту инфраструктуры и архитектуры, этапу жизненного цикла и категории угроз.
🟡 Опросник для самооценки.
🟡 Маппинг на стандарт NIST AI 600-1 (2024) и фреймворк Criteria Catalogue for AI Cloud Services – AIC4.
В будущих версиях планируется добавление маппинга на другие стандарты и фреймворки безопасности систем ИИ, а также руководств по внедрению мер управления и их аудиту.
Ниже приложил презентацию и сам сборник материалов AICM.
#ai #framework #csa #aicm #controls #architecture
Фреймворк включает в себя:
В будущих версиях планируется добавление маппинга на другие стандарты и фреймворки безопасности систем ИИ, а также руководств по внедрению мер управления и их аудиту.
Ниже приложил презентацию и сам сборник материалов AICM.
#ai #framework #csa #aicm #controls #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥2✍1🤔1
Опаснее фишинга может быть только симуляция фишинга 😄
Компания Living Security совместно с Cyentia Institute выпустила исследование на тему управления человеческими рисками в кибербезопасности, проанализировав данные 100+ организаций, пользующихся её HRM-решением.
Из интересного:
➡️ 10% сотрудников ответственны за 73% всех случаев девиантного рискованного поведения (клики по фишинговым письмам, загрузка малвари и т.п.).
Схожие результаты декларировались в другом совместном с Cyentia Institute исследовании компании Mimecast.
➡️ Удалёнщики и сотрудники с неполной занятостью зачастую оказываются более благонадежными, чем их офисные коллеги👨💻
Ещё один аргумент за удалёнку 😏
➡️ 78% сотрудников фактически приносят больше пользы в снижении рисков, чем вреда в их увеличении.
➡️ Около 8% сотрудников можно отнести к категории "хаотично рискованных", т.е. к категории особо проблемных, которых почти невозможно перевоспитать и к которым стоит принимать активные меры (как минимум разместить "под колпаком SOCа").
➡️ Значительная часть профиля риска сотрудников обусловлена не их поведением, а внешними событиями (угрозами, нацеленными на них). Т.е. не всегда стоит винить сотрудников в том, что они не распознали угрозу: надо уделять внимание в том числе техническим и организационным мерам, способным защитить такую категорию сотрудников.
➡️ Топ-20 высокорисковых событий (см. скрин) возглавили действия с фишингом (клики, переходы), причем по большей части именно учебный фишинг, что в очередной раз подтверждает, что результаты таких симуляций довольно не репрезентативны.
➡️ Неожиданно было увидеть в том же топе, что несанкционированное изменение настроек EDR встречалось чаще, чем выгрузка чувствительных данных😑 Видимо в организациях из выборки с рядовыми сотрудниками разобрались, а с админами ещё нет 😅
➡️ В среднем, компании способны обнаружить менее половины (43%) всех событий и действий, составляющих человеческий риск: для увеличения видимости необходимо собирать больше данных из источников, позволяющих оценить поведение сотрудников (например, из решений EDR/IAM/NGFW).
#awareness #risk #hrm #phishing #training #riskmanagement
Компания Living Security совместно с Cyentia Institute выпустила исследование на тему управления человеческими рисками в кибербезопасности, проанализировав данные 100+ организаций, пользующихся её HRM-решением.
Из интересного:
Схожие результаты декларировались в другом совместном с Cyentia Institute исследовании компании Mimecast.
#awareness #risk #hrm #phishing #training #riskmanagement
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4😁2🤣1
Спустя месяц, обновил подборку полезных ресурсов на тему управления уязвимостями🔖
Основные изменения:
🔗 Выделил раздел под ресурсы с эксплойтами и реестрами эксплуатируемых уязвимостей и перенес туда соответствующие закладки.
🔗 Часть ресурсов ошибочно добавленных в раздел баз данных и агрегаторов перенес в раздел бюллетеней.
Также добавил несколько новых ссылок на тему приоритизации и новые базы данных уязвимостей:
🔗 Comparing NIST LEV, EPSS, and KEV for Vulnerability Prioritization — сравнение эффективности подходов с использованием LEV, EPSS и KEV-реестров.
🔗 SSCV Framework — фреймворк про который писал ранее.
🔗 Vulnerability Explorer by Wazuh — база уязвимостей от Wazuh CTI. В целом, ничего интересного.
🔗 AVulns by Acribia — база уязвимостей от отечественной компании Акрибия.
🔗 Dbugs by Positive Technologies — портал от ПТ. Ранее писал про него.
🔗 Zeroday Publishing — база с функционалом оперативных оповещений по почте о критичных и эксплуатируемых уязвимостях.
🔗 Miggo Predictive Vulnerability Database — с фокусом на определение уязвимых функций и точным техническим описанием уязвимостей.
#cve #vm #bookmarks #prioritization #trends #cvss #vulnerability
Основные изменения:
Также добавил несколько новых ссылок на тему приоритизации и новые базы данных уязвимостей:
#cve #vm #bookmarks #prioritization #trends #cvss #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍16🤝2
Наиболее часто используемые критерии для приоритизации рисков кибербезопасности📊
Если посмотреть на результаты опроса специалистов насчет приоритизации из небольшого исследования про управление киберрисками от Qualys, то можно заметить, что большинство (зарубежных) компаний отказались от использования оценки CVSS как единственного критерия ранжирования рисков: 68% опрошенных заявили, что используют несколько критериев для оценки рисков или количественную оценку.
При этом наиболее популярными критериями ранжирования киберрисков стали:
1️⃣ Критичность уязвимости
2️⃣ Потенциальное влияние на бизнес
3️⃣ Стоимость и критичность активов
4️⃣ Соответствие нормативным требованиям
5️⃣ Вероятность компрометации
Это свидетельствует о том, что специалисты стали чаще учитывать бизнес-контекст для приоритизации киберрисков. Примечательно, что в целом только 13% опрошенных сообщили о применении количественной оценки киберрисков, что указывает на то, что для многих это по-прежнему является сложной задачей🤔
Также стоит отметить, что наиболее распространенными критериями классификации активов и определения их ценности являются:
🔗 Критичность для бизнес-операций
🔗 Категория обрабатываемых данных
🔗 Оценочная стоимость актива
Однако частота пересмотра классификации активов остается довольно низкой: большинство компаний обновляет данные ежегодно или реже, например, только после значительных изменений в рассматриваемых системах.
#risk #vulnerability #vm #prioritization #value #assessment #cvss
Если посмотреть на результаты опроса специалистов насчет приоритизации из небольшого исследования про управление киберрисками от Qualys, то можно заметить, что большинство (зарубежных) компаний отказались от использования оценки CVSS как единственного критерия ранжирования рисков: 68% опрошенных заявили, что используют несколько критериев для оценки рисков или количественную оценку.
При этом наиболее популярными критериями ранжирования киберрисков стали:
Это свидетельствует о том, что специалисты стали чаще учитывать бизнес-контекст для приоритизации киберрисков. Примечательно, что в целом только 13% опрошенных сообщили о применении количественной оценки киберрисков, что указывает на то, что для многих это по-прежнему является сложной задачей
Также стоит отметить, что наиболее распространенными критериями классификации активов и определения их ценности являются:
Однако частота пересмотра классификации активов остается довольно низкой: большинство компаний обновляет данные ежегодно или реже, например, только после значительных изменений в рассматриваемых системах.
#risk #vulnerability #vm #prioritization #value #assessment #cvss
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2👌1
По приглашению ребят из Inseca присоединился к команде экспертов практического курса по управлению уязвимостями, в рамках которого расскажу о возможных подходах и инструментах приоритизации устранения уязвимостей.
Уже готовлю материалы для вебинара: надеюсь, что полученные знания можно будет успешно применить в рабочих процессах😉
p.s. У Александра Леонова можно почитать отзыв о курсе и обзор последних изменений👍
#vm #prioritization #inseca #training #course
Уже готовлю материалы для вебинара: надеюсь, что полученные знания можно будет успешно применить в рабочих процессах
p.s. У Александра Леонова можно почитать отзыв о курсе и обзор последних изменений
#vm #prioritization #inseca #training #course
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥9🫡2🤮1🤡1😍1
Media is too big
VIEW IN TELEGRAM
Еще одна дорожная карта сертификаций в областях ИБ, вдохновленная широко известным проектом Пола Джереми.
Помимо стандартного описания сертификации и разбивки по доменам ИБ есть следующие интересные функции:
Выглядит интересно
#certification #trainig #roadmap #education
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4👎1
Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.
Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥10👍8❤5