🔤🔤🔤🔤🔣🔤🔤🔤🔣🔤🔤🔤❓

Пару месяцев назад институт NIST опубликовал технический документ, в котором представил методику расчета метрики LEV (Likely Exploited Vulnerabilities, вероятно эксплуатируемые уязвимости):
🌟Данная метрика, используя информацию об оценках EPSS, позволяет оценить вероятность эксплуатации уязвимости в прошлом, т.е. вероятность того, что уязвимость уже использовалась в атаках злоумышленников, хотя на текущий момент нет фактов, подтверждающих это.
🌟Метрика должна повысить эффективность приоритизации в процессе управления уязвимостями, устранив ограничения методики расчета EPSS (не включает прошлые факты эксплуатации в свою модель) и реестров типа "Known Exploited Vulnerability" (не исчерпывающие списки эксплуатируемых уязвимостей).
При этом подчеркивается, что LEV должен обязательно использоваться совместно с EPSS и/или KEV (на американском рынке многие компании используют эти инструменты для приоритизации).

На сколько эффективна метрика LEV?
Исследователь Крис Мэдден опубликовал инструмент для расчета метрики LEV и поделился результатами сравнительного анализа EPSS, KEV и LEV:
🌟Если посмотреть на левый верхний квадрант точечной диаграммы (первый скрин) сравнения оценок EPSS и KEV, можно увидеть, что LEV довольно хорошо покрывает эксплуатируемые уязвимости из каталога CISA KEV (красные точки). Однако, высокое покрытие (около 90%) достигается при довольно низком пороге LEV в 0,1🤔
🌟Если комбинировать оценки EPSS и LEV, то при минимальном пороге в 0,1 количество прогнозируемо эксплуатируемых (в прошлом и в ближайшем 30-дневном будущем) уязвимостей составит около 27-28% от общего количества зарегистрированных CVE (по состоянию на начало июня). А это довольно много и не вписывается в парадигму эффективной маркетинговой🤑 приоритизации😵‍💫

И что в итоге?
Решает ли LEV проблему приоритизации? Думаю, что однозначно нет. Всё-таки когда новая метрика базируется на не совсем прозрачной модели (EPSS), то она содержит те же ограничения и потенциальные математические недочеты, что и ее "родитель".
К тому же, нам всё равно приходится принимать довольно серьезные риски, устанавливая "рекомендуемые кем-то" пороговые значения для оценок EPSS и LEV, и тем самым отбрасывая большое количество потенциально опасных уязвимостей, которые мы не собираемся исправлять.

По моему мнению, LEV может помочь в более оперативном пополнении каталогов и ресурсов типа KEV: вендоры, TI-специалисты и исследователи могли бы сосредоточить свои усилия на поиске фактов эксплуатации уязвимостей с высоким значением метрики LEV👍

Полезное о LEV:
🔗NIST LEV
🔗Risk Based Prioritization (about LEV)
🔗Comparing NIST LEV, EPSS, and KEV

#cve #vm #lev #kev #epss #vulnerability #risk #prioritization

AI Controls Matrix (AICM) — ещё один фреймворк, содержащий набор мер управления для безопасной разработки, внедрения и эксплуатации облачных систем искусственного интеллекта от Cloud Security Alliance🧠

Фреймворк включает в себя:
🟡Матрицу мер управления, включающую в себя 243 контроля, сгруппированных по 18 доменам безопасности. Каждая мера привязана к типу/компоненту инфраструктуры и архитектуры, этапу жизненного цикла и категории угроз.
🟡Опросник для самооценки.
🟡Маппинг на стандарт NIST AI 600-1 (2024) и фреймворк Criteria Catalogue for AI Cloud Services – AIC4.

В будущих версиях планируется добавление маппинга на другие стандарты и фреймворки безопасности систем ИИ, а также руководств по внедрению мер управления и их аудиту.

Ниже приложил презентацию и сам сборник материалов AICM.

#ai #framework #csa #aicm #controls #architecture

Наиболее часто используемые критерии для приоритизации рисков кибербезопасности📊

Если посмотреть на результаты опроса специалистов насчет приоритизации из небольшого исследования про управление киберрисками от Qualys, то можно заметить, что большинство (зарубежных) компаний отказались от использования оценки CVSS как единственного критерия ранжирования рисков: 68% опрошенных заявили, что используют несколько критериев для оценки рисков или количественную оценку.
При этом наиболее популярными критериями ранжирования киберрисков стали:
1️⃣Критичность уязвимости
2️⃣Потенциальное влияние на бизнес
3️⃣Стоимость и критичность активов
4️⃣Соответствие нормативным требованиям
5️⃣Вероятность компрометации

Это свидетельствует о том, что специалисты стали чаще учитывать бизнес-контекст для приоритизации киберрисков. Примечательно, что в целом только 13% опрошенных сообщили о применении количественной оценки киберрисков, что указывает на то, что для многих это по-прежнему является сложной задачей🤔

Также стоит отметить, что наиболее распространенными критериями классификации активов и определения их ценности являются:
🔗Критичность для бизнес-операций
🔗Категория обрабатываемых данных
🔗Оценочная стоимость актива

Однако частота пересмотра классификации активов остается довольно низкой: большинство компаний обновляет данные ежегодно или реже, например, только после значительных изменений в рассматриваемых системах.

#risk #vulnerability #vm #prioritization #value #assessment #cvss

📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

🛡Злоумышленники активно ищут и эксплуатируют уязвимости не только в широко распространенных продуктах, но и в менее известных программных решениях.

Согласно свежему исследованию Instinkt Group в первой половине 2025 года были проэксплуатированы уязвимости 81 вендора ПО. Хотя, продукты Microsoft доминировали по количеству эксплуатируемых уязвимостей, авторы подчеркивают, что всё чаще злоумышленники целенаправленно ищут уязвимости в менее популярных и менее распространенных продуктах, предполагая, что организации могут откладывать установку исправлений или не покрывать мониторингом такие системы и ПО.

Другие выводы и показатели за первое полугодие 2025:
➡️Активно эксплуатировались 161 уязвимость, причем 42% из них имели общедоступные PoC.
➡️69% эксплуатируемых уязвимостей не требовали аутентификации, а почти одна треть позволяла удаленное выполнение кода (RCE).
➡️17% эксплуатируемых уязвимостей относились к продуктам Microsoft, и столько же — к периметровым сетевым устройствам (SSL-VPN, firewalls, Citrix, Palo Alto, Fortinet, Ivanti и т.д.).
➡️Самые распространённые дефекты CWE — Cross-Site Scripting (CWE-79), SQL Injection (CWE-89), а также Cross-Site Request Forgery (CWE-352), generic Injection flaws (CWE-74), и Missing Authorization (CWE-862).
➡️151 из 161 эксплуатированной уязвимости применялись для развертывания вредоносного ПО, а 73 — для установки программ-вымогателей.

p.s. Так как Instinkt Group является подразделением Recorded Future, то на всякий случай напоминаю, что данная организация признана на территории РФ нежелательной🤷‍♂️

#cve #trends #prioritization #cwe #vm