Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых ransomware.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
Ниже привожу главные выводы с небольшими выдержками из отчета:
🔸В 2022 году 56 уязвимостей были связаны с ransomware.
Всего - 344 (с 2010 года).
При этом 180 из них активно используются злоумышленниками.
🔸С помощью 57 уязвимостей можно "пробежаться" по всей цепочке kill chain.
49 из этих 57 уязвимостей добавлены в каталог CISA KEV.
🔸20 уязвимостей, связанных с ransomware, не обнаруживаются такими популярными сканерами как Nessus, Nexpose и Qualys.
Тут, конечно, разработчики сканеров могут возразить, что им тяжело вести базу дыр по всему ПО в мире, однако в перечень "необнаруживаемых" уязвимостей попали продукты таких известных вендоров как IBM, Gigabyte, D-Link, QNAP и др.
🔸Из 344 уязвимостей, используемых ransomware, только 231 включена в каталог CISA KEV.
Топ-10 вулн, которые скоро должны включить в CISA KEV приведены в отчете.
🔸76% уязвимостей, используемых ransomware, - это уязвимости, обнаруженные до начала 2020 года.
А некоторые еще и сканерами не обнаруживаются...
🔸16% уязвимостей, связанных с ransomware, имеют низкий и средние оценки по CVSS.
Наше излюбленное - все понимают, что ориентироваться только на скоринг CVSS для формирования приоритета устранения это правило плохого управления уязвимостями.
В качестве примера, дыра в продуктах Microsoft под идентификатором CVE-2016-3351 имеющая оценку 3.1 (по CVSS 3.1), используется девятью APT-группами. В каталог CISA KEV добавлена в 2022 году, а если смотреть БДУ ФСТЭК, то опасной ее не посчитаешь.
А есть еще примеры уязвимостей, используемых APT-группами, которые в каталоге NVD значатся как отозванные. Например, CVE-2019-9081 или CVE-2015-2551.
👍5🔥2🤔1🐳1🌚1
AlexRedSec
Последнее время почти не читал отчеты про ransomware, однако, на работу "2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management" обратил внимание, т.к. в этом исследовании есть занимательная информация об уязвимостях, используемых…
А вот вдогонку еще аналитика от Vulncheck о 42 уязвимостях, которые активно эксплуатировались (в 2022 году) злоумышленниками и до сих пор не добавлены в каталог CISA KEV.
👍2
Forwarded from Управление Уязвимостями и прочее
Вышла третья итерация Exploit Prediction Scoring System (EPSS). Пишут, что стала на 82% круче. Есть довольно прикольная и подробная статья про изменения. Например, EPSS-ники начали анализировать не 16 свойств уязвимостей, а аж 1164. Есть подозрение, что большая часть этих свойств это лейблы вендоров, как в таблице. Но выяснять как оно конкретно работает дело всё равно малоперспективное, потому что "а внутри у ней нейронка" (c). В целом, по запутанности уже похоже на Tenable VPR. Но бесплатность всё искупает. 😇 Кстати, в статье упоминают Tenable VPR и прочие коммерческие скоры и критикуют их за проприетарность, публичную недоступность и то, что они частично базируются на экспертном мнении, а не только на данных.
Поглядел выгрузку EPSS на примерах.
1. Для уязвимости Word-а (CVE-2023-21716) с недавним PoC-ом EPSS очень высокий (0.16846,0.95168).
2. Для SPNEGO (CVE-2022-37958), для которого эксплоит ожидается в Q2, EPSS тоже высокий (0.07896,0.93195).
3. Для рандомной уязвимости MS Edge (CVE-2023-0696) из февральского MS Patch Tuesday (их десятки каждый месяц), EPSS низкий (0.00062,0.24659)
4. Взял наоборот уязвимость с высоким EPSS из выгрузки - CVE-2023-0297 (0.04128,0.90834). Тоже понятно почему, там ссылка на эксплоит прямо в NVD.
На первый взгляд всё вполне адекватно. 👍
То есть делать приоритизацию исключительно на основе EPSS я бы не советовал, но использовать как дополнительный фактор с весом как у CVSS Base Score (а возможно и повыше) выглядит вполне оправданным. Совсем без причины эта цифирь вверх вряд ли поползет, если она идёт к 0.9 и выше имеет смысл поглядеть на уязвимость повнимательнее. Подумываю начать учитывать EPSS в Vulristics. 😉
@avleonovrus #EPSS #TenableVPR #Tenable #Vulristics
Поглядел выгрузку EPSS на примерах.
1. Для уязвимости Word-а (CVE-2023-21716) с недавним PoC-ом EPSS очень высокий (0.16846,0.95168).
2. Для SPNEGO (CVE-2022-37958), для которого эксплоит ожидается в Q2, EPSS тоже высокий (0.07896,0.93195).
3. Для рандомной уязвимости MS Edge (CVE-2023-0696) из февральского MS Patch Tuesday (их десятки каждый месяц), EPSS низкий (0.00062,0.24659)
4. Взял наоборот уязвимость с высоким EPSS из выгрузки - CVE-2023-0297 (0.04128,0.90834). Тоже понятно почему, там ссылка на эксплоит прямо в NVD.
На первый взгляд всё вполне адекватно. 👍
То есть делать приоритизацию исключительно на основе EPSS я бы не советовал, но использовать как дополнительный фактор с весом как у CVSS Base Score (а возможно и повыше) выглядит вполне оправданным. Совсем без причины эта цифирь вверх вряд ли поползет, если она идёт к 0.9 и выше имеет смысл поглядеть на уязвимость повнимательнее. Подумываю начать учитывать EPSS в Vulristics. 😉
@avleonovrus #EPSS #TenableVPR #Tenable #Vulristics
👍5
Альянс организаций "Cyber Threat Alliance" и институт "Institute for Security and Technology" выпустили брошюру (вторую версию) с принципами формирования и типовой формой отчетности по инцидентам кибербезопасности.
Цель - унифицировать подход к отчетности, которую необходимо предоставлять регуляторам (CISA и пр.), а также которой можно было бы обмениваться между различными организациями в рамках сотрудничества в сфере кибербезопасности.
В брошюре можно найти принципы формирования отчетности, критерии значимых инцидентов (для зарубежных регуляторов, само собой), а также обязательные и необязательные поля для заполнения в рамках отчетности о случившемся инциденте кибербезопасности, с описанием зачем она нужна регулятору или может понадобиться коллегам "по цеху".
В целом ничего сверхъестественного, но как структурированный справочник можно сохранить.
Цель - унифицировать подход к отчетности, которую необходимо предоставлять регуляторам (CISA и пр.), а также которой можно было бы обмениваться между различными организациями в рамках сотрудничества в сфере кибербезопасности.
В брошюре можно найти принципы формирования отчетности, критерии значимых инцидентов (для зарубежных регуляторов, само собой), а также обязательные и необязательные поля для заполнения в рамках отчетности о случившемся инциденте кибербезопасности, с описанием зачем она нужна регулятору или может понадобиться коллегам "по цеху".
В целом ничего сверхъестественного, но как структурированный справочник можно сохранить.
👍3
Как вы думаете, что за слова изображены на скрине? Наверное, это какие-то тренды, да? Но чего и откуда?
Не буду томить. Согласно исследованию компании SpyCloud - это облако основных трендов, составленных на основе анализа паролей из крупных утечек 2022 года, в т.ч. и утечек в РФ.
Исследователи подмечают, что с человечеством не всё так плохо, так как огромное количество паролей было связано с "институтом семьи"😊.
Про топовые пароли отдельно говорить нет смысла - вы и так догадываетесь😏
Не буду томить. Согласно исследованию компании SpyCloud - это облако основных трендов, составленных на основе анализа паролей из крупных утечек 2022 года, в т.ч. и утечек в РФ.
Исследователи подмечают, что с человечеством не всё так плохо, так как огромное количество паролей было связано с "институтом семьи"😊.
Про топовые пароли отдельно говорить нет смысла - вы и так догадываетесь😏
❤2👨💻2👍1🔥1🗿1
CISO_Mindmap-2023.pdf
874.5 KB
Небезызвестный товарищ Рафик Рехман обновил свою CISO MindMap и предлагает нам в ближайший ИБэшный год сфокусироваться на следующих задачах:
🔹Повышение киберустойчивости.
🔹Сокращение и консолидация инструментов кибербезопасности.
🔹Создание бренда для команды кибербезопасников.
🔹Изучение работы бизнес-приложений и компонент из которых они состоят.
🔹Изучение и получение опыта использования новых технологий (AI, ML, DevSecOps и т.п.).
🔹Автоматизация безопасности, особенно в части метрик, инвентаризации и рисков.
🔹Повышение киберустойчивости.
🔹Сокращение и консолидация инструментов кибербезопасности.
🔹Создание бренда для команды кибербезопасников.
🔹Изучение работы бизнес-приложений и компонент из которых они состоят.
🔹Изучение и получение опыта использования новых технологий (AI, ML, DevSecOps и т.п.).
🔹Автоматизация безопасности, особенно в части метрик, инвентаризации и рисков.
👍4🔥2👨💻1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥3😁1
Ещё один подход к приоритезации устранения уязвимостей, основанный на использовании оценки CVSS, EPSS и информации из каталога CISA KEV.
За основу берется методика от FIRST по совместному использованию оценок CVSS и EPSS. Для разграничения приоритетов в качестве пограничных значений берутся средневзвешенные значения CVSS=6 и EPSS=0.2, которые делят график на четыре квадранта.
Итого имеем 5 приоритетов:
1️⃣ CVE есть в каталоге CISA KEV - суперкритично, т.к. уже эксплуатируются.
2️⃣ CVE из верхнего правого квадранта - опасные уязвимости, которые могут нанести критический ущерб активам, и при этом имеют высокую вероятность использования злоумышленниками.
3️⃣ CVE из нижнего правого квадранта - опасные уязвимости, но с невысокой вероятностью использования злоумышленниками.
4️⃣ CVE из верхнего левого квадранта - уязвимости, эксплуатация которых не нанесет большого ущерба активам, но большой вероятностью использования злоумышленниками.
5️⃣ CVE из нижнего левого квадранта - оставшиеся уязвимости с низкой оценкой CVSS и невысокой вероятностью использования.
Алгоритм можно использовать в боевом режиме, хотя, как и любой иной, он не лишен минусов - многие CVE могут отсутствовать в каталоге CISA KEV, но при этом активно эксплуатироваться. Да и в целом для свежих уязвимостей инструмент не сильно удобен, но кто мешает периодически пересматривать приоритет? Был бы только инструмент автоматизации.
Для данной методики приоритезации есть инструмент, который можно доработать под свои нужды.
За основу берется методика от FIRST по совместному использованию оценок CVSS и EPSS. Для разграничения приоритетов в качестве пограничных значений берутся средневзвешенные значения CVSS=6 и EPSS=0.2, которые делят график на четыре квадранта.
Итого имеем 5 приоритетов:
1️⃣ CVE есть в каталоге CISA KEV - суперкритично, т.к. уже эксплуатируются.
2️⃣ CVE из верхнего правого квадранта - опасные уязвимости, которые могут нанести критический ущерб активам, и при этом имеют высокую вероятность использования злоумышленниками.
3️⃣ CVE из нижнего правого квадранта - опасные уязвимости, но с невысокой вероятностью использования злоумышленниками.
4️⃣ CVE из верхнего левого квадранта - уязвимости, эксплуатация которых не нанесет большого ущерба активам, но большой вероятностью использования злоумышленниками.
5️⃣ CVE из нижнего левого квадранта - оставшиеся уязвимости с низкой оценкой CVSS и невысокой вероятностью использования.
Алгоритм можно использовать в боевом режиме, хотя, как и любой иной, он не лишен минусов - многие CVE могут отсутствовать в каталоге CISA KEV, но при этом активно эксплуатироваться. Да и в целом для свежих уязвимостей инструмент не сильно удобен, но кто мешает периодически пересматривать приоритет? Был бы только инструмент автоматизации.
Для данной методики приоритезации есть инструмент, который можно доработать под свои нужды.
👍5👨💻1
Агентство CISA обновило модель зрелости нулевого доверия имени себя - CISA's Zero Trust Maturity Model Version 2.0.
В новой версии определили четыре уровня зрелости вместо трех, и конкретизировали критерии достижения уровней зрелости.
В новой версии определили четыре уровня зрелости вместо трех, и конкретизировали критерии достижения уровней зрелости.
👍4👨💻1
Вот такие метрики, с помощью которых бизнес оценивает эффективность работы программы кибербезопасности в организации, зафиксировал Splunk по итогам опроса респондентов в своём свежем исследовании "The State of Security 2023".
👍2🐳1👨💻1