Forwarded from AlexRedSec
The 8th Annual Hacker-Powered Security Report by HackerOne🔓
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
🔣 Генеративный ИИ является одним из самых значительных рисков, а целостность данных (обрабатываемых ИИ) является ключевым приоритетом.
🔣 Исследователи всё больше сосредотачиваются на поиске уязвимостей в мобильных устройствах, API, ИИ-средах.
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
🔣 XSS – остается наиболее распространенной уязвимостью, о которой сообщается в багбаунти-программах, а misconfiguration – при пентестах.
🔣 Багбаунти-программы с высокой отдачей (где более 30% подтвержденных отчетов с high/critical-уязвимостями) имели размер вознаграждения выше среднего, ограничения на участие в программе для доверенных исследователей и более широкий скоуп ресурсов для тестирования.
#h1 #vulnerability #bugbounty
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
#h1 #vulnerability #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
К началу 2025 года планируется к выпуску новое руководство для электронной коммерции как выполнять требования PCI DSS 6.4.3 (требования к скриптам оплаты на странице) и 11.6.1.(контроль целостности платежных страниц) эти 2 пункта как 62 других вступают в силу с марта 2025.
https://blog.pcisecuritystandards.org/new-guidance-coming-for-e-commerce-security-requirements-in-pci-dss-v-4-x
https://blog.pcisecuritystandards.org/new-guidance-coming-for-e-commerce-security-requirements-in-pci-dss-v-4-x
blog.pcisecuritystandards.org
New Guidance Coming for E-commerce Security Requirements in PCI DSS v4.x
The PCI Security Standards Council (PCI SSC) is developing guidance to help stakeholders understand and implement new e-commerce security requirements in PCI Data Security Standard (PCI DSS) v4.x.
https://github.com/Permiso-io-tools/capiche
"CAPICHE Detection Framework (Cloud API Conversion Helper Express) is an open-source tool designed to simplify each step of the cloud API detection translation pipeline, enabling any defender to instantly create numerous styles of detection rules from groupings of APIs. "
"CAPICHE Detection Framework (Cloud API Conversion Helper Express) is an open-source tool designed to simplify each step of the cloud API detection translation pipeline, enabling any defender to instantly create numerous styles of detection rules from groupings of APIs. "
GitHub
GitHub - Permiso-io-tools/capiche
Contribute to Permiso-io-tools/capiche development by creating an account on GitHub.
https://www.ptsecurity.com/ru-ru/research/analytics/itogi-proektov-po-rassledovaniyu-inczidentov-i-retrospektivnomu-analizu-2023-2024/
Хороший отчет для понимания основных тактик атакующих в 2024 году.
Хороший отчет для понимания основных тактик атакующих в 2024 году.
ptsecurity.com
Аналитические статьи
https://www.cockroachlabs.com/blog/the-state-of-resilience-2025-reveals-the-true-cost-of-downtime/ опрос 1000 человек посвященный вопросам устойчивости. Математика не очень прозрачная. Ну как ещё одна ссылка при оценке риск аппетита подойдет.
Cockroachlabs
“The State of Resilience 2025” Reveals the True Cost of Downtime
Downtime can cost companies money – and a lot more. This new Cockroach Labs survey of 1,000 senior tech executives shows the critical importance of maintaining operational resilience.
https://csrc.nist.gov/pubs/ir/8547/ipd
Проект стандарта по переходу на пост квантовые алгоритмы. США ориентирует свои организации и органы власти к квантовому превосходству не позднее чем к 2030-2035 годам.
Проект стандарта по переходу на пост квантовые алгоритмы. США ориентирует свои организации и органы власти к квантовому превосходству не позднее чем к 2030-2035 годам.
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8547 (Draft), Transition to Post-Quantum Cryptography Standards
This report describes NIST’s expected approach to transitioning from quantum-vulnerable cryptographic algorithms to post-quantum digital signature algorithms and key-establishment schemes. It identifies existing quantum-vulnerable cryptographic standards…
https://cloud.google.com/blog/products/identity-security/google-cloud-expands-cve-program на фоне проблем с бэклогом в базе nvd , добавление нового источника cve выглядит неоднозначно. Кто то может воспринять это как красивый жест без реальной пользы, по крайней мере пока.
Google Cloud Blog
Google Cloud expands CVE program | Google Cloud Blog
As part of our commitment to security and transparency on vulnerabilities found in our products and services, we now will issue CVEs for critical Google Cloud vulnerabilities.
Ваш CEO и правление устали от графиков и скучных отчетов. Нужно повеселее? Их есть у Panseer.
https://panaseer.com/resources/blog/2025-security-leaders-peer-report
https://panaseer.com/resources/blog/2025-security-leaders-peer-report
Website
Download the 2025 Security Leaders Peer Report - Panaseer
We've surveyed over 400 security leaders to summarize the challenges they face in 2025. Read the report to learn how CISOs feel about control failures, combatting hidden risks, and their biggest threats today.