Vulncheck выпустила небольшой отчет об уязвимостях, которые были добавлены в 2025 году в Vulncheck KEV как эксплуатируемые злоумышленниками💥

Главные выводы:
🔗В течение 2025 года было выявлено 884 уязвимости с признаками эксплуатации.
🔗Почти для 29% этих уязвимостей признаки эксплуатации фиксировались в день присвоения идентификатора CVE или ранее.
🔗Чаще всего объектами атак являлись:
➡️Пограничные сетевые устройства (межсетевые экраны, маршрутизаторы, VPN-шлюзы)
➡️Системы управления контентом (CMS) (спасибо Wordpress за это)
➡️ПО с открытым исходным кодом
➡️Серверное ПО и операционные системы.
🔗Если посмотреть на скорость эксплуатации уязвимостей в разрезе технологий, то чаще и быстрее всего эксплуатировали уязвимости в ОС, аппаратном обеспечении, софте для обмена файлами и CMS-системах.

#vm #cve #kev #vulnerability #prioritization

Ребята из Wiz опубликовали простой, но удобный и наглядный фреймворк SITF (SDLC Infrastructure Threat Framework), разработанный для анализа и защиты от атак, нацеленных на инфраструктуру жизненного цикла разработки программного обеспечения.

Фреймворк SITF позволяет визуализировать этапы атаки на компоненты цикла разработки, идентифицировать риски, сопоставлять с ними меры защиты и позволяет анализировать цепочку атаки.

SITF включает в себя:
🟠Flow Builder — интерактивный инструмент для моделирования и визуализации атак.
🟠Explore Techniques Visually — интерактивная MITRE-подобная база знаний о техниках злоумышленников, содержащая в т.ч. описание рисков и мер защиты в разрезе компонентов SDLC.
🟠Руководство по фреймворку c примерами использования и инструкциями, а также с разбором известных атак (CircleCI, Shai-Hulud-2 и Codecov).

Как и писал в начале, инструменты очень простые в использовании и визуально удобные👍
В репозитории есть ссылки на онлайн-версии, но ссылки там битые🤷 Однако, для локального запуска достаточно скачать два html-файла и открыть их в любом веб-браузере.

#sdlc #framework #technique #risks #controls #modeling

За последнее время скопилось несколько интересных новостей и ресурсов на тему VM, поэтому решил поделиться в формате дайджеста❤️

🔣Про EPSS
Информацию по оценкам EPSS теперь можно забирать из GitHub-репозитория: там лежат посуточные файлы, начиная с 2021 года. Таким образом, теперь инфу по EPSS можно дергать из трех источников (ранее можно было по API и в виде файлов с ресурса FIRST)

🔣Про трендовые и обсуждаемые уязвимости
ThreatCluster — классный TI-портал, где есть раздел про уязвимости и тренды со ссылками на новостные источники, сообщения из сети X, связанные угрозы и кампании. Выглядит симпатично и есть коммьюнити-версия, в которой можно настроить оповещения по нужной сфере, вендору ПО и т.д.
Threat Radar — еще один TI-портал, где можно отслеживать трендовые уязвимости и связанные угрозы/кампании, также есть новостные фиды из разных источников и онлайн-карта киберугроз. Выглядит интересно👍
CVE News Trends & Media Sentiment Dashboard — дашборд обсуждаемых в СМИ и не только уязвимостей от известного новостного ресурса HackerStorm. Есть топы, фильтры и ссылки на ресурсы.
Weekly Enterprise Exploitation Trend Report — недельные дайджесты по эксплуатируемым уязвимостям от компании NST Cyber. Очень визуально приятный дашборд с большим набором данных по уязвимостям в популярном ПО. Можно подписаться на дайджесты и скачивать репорты с сайта еженедельно.

🔣 Про приоритизацию
KEV Collider — интерактивный инструмент для приоритизации уязвимостей из каталога CISA KEV (да, стараются еще эксплуатируемое разбить на приоритеты устранения🙂). Взяли данные из CISA KEV и добавили инфу об CVSS, EPSS, наличии эксплоитов, векторах атак. Не ново, но визуально неплохо сделано) Из интересного стоит отметить, что есть интересный фильтр по изменению оценки EPSS для уязвимости. Авторы таким образом предлагают отслеживать трендовые уязвимости. Они даже изначально сделали ресурс EPSS Pulse, где публикуют реестр уязвимостей с наибольшим изменением оценки EPSS за сутки. Кстати, один из авторов ресурса — Тод Бердсли, который ранее руководил направлением KEV в самом агентстве CISA.
CyberOK Vulnerability Scoring System —СайберОК опубликовала методику CybVSS по оценке критичности уязвимостей и определению трендовых уязвимостей (подглядел у Александра Леонова).
A method to assess 'forgivable' vs 'unforgivable' vulnerabilities — исследование от NCSC на тему того, какие уязвимости надо устранять. Подробнее можно почитать в посте Алексея Лукацкого.

p.s. Все ресурсы добавил в свою ➡️подборку ресурсов⬅️ на тему VM.

#vm #vulnerability #digest #prioritization #trends #cvss #epss #exploit #kev #cisa

Спустя несколько лет, ожил портал Open Security Architecture🛡

На сайте OSA (из РФ недоступен) можно найти:
🔜Шаблоны архитектурных схем, предназначенные для реализации типовых технических решений и процессов. Каждый шаблон содержит непосредственно схему, рекомендации по мерам защиты на основе контролей из фреймворка NIST 800-53 Rev 5, ограничения по использованию, типовые угрозы, уязвимости и маппинг мер на другие фреймворки.
🔜Каталог и маппинг мер из фреймворков NIST 800-53 Rev 5, ISO 27001:2022, ISO 27002:2022, COBIT 2019, Cis Controls v8, NIST CSF 2.0, SOC 2 TSC, PCI DSS 4.0.1.
🔜Несколько опросников для оценки уровня зрелости по различным процессам и фреймворкам.
🔜Набор иконок для использования в арх.схемах🌆

#architecture #GRC #patterns #iso #framework #nist #csf #cobit #mapping #controls

Sonatype недавно выпустила ежегодный отчет о состоянии безопасности цепочки поставок программного обеспечения, в котором очень хорошо описала проблемы современного процесса управления уязвимостями.
В рамках исследования авторы описывают ключевые проблемы на трех взаимосвязанных уровнях процесса VM.

❤️ Уровень данных
Основная проблема начинается с неполных и неточных данных об уязвимостях, которые, к тому же, медленно обновляются (в первую очередь здесь говорится про базу NVD и программу регистрации уязвимостей CVE):
➡️Медианное время оценки уязвимости в ПО с открытым исходным кодом в 2025 году составило 41 день, а для 35% от общего количества - более трех месяцев.
➡️Почти 65% уязвимостей в ПО с открытом исходным кодом, обнаруженных в 2025 году, до сих пор не имеют оценки CVSS.
➡️В базе NVD содержится немалое количество записей, в которых указаны неправильные диапазоны уязвимых версий и идентификаторов CPE, а также не указываются EOL (End Of Life)-версии ПО.
➡️По расчетам Sonatype, оценка CVSS каждой седьмой уязвимости рассчитана неверно и отличается на 3+ балла.

❤️Уровень потребления
Даже при наличии исправлений организации продолжают загружать и развертывать уязвимые компоненты, причин тому несколько:
➡️Закрепление зависимостей — единожды скачанная версия фиксируется (например, во внутренних репозиториях) и переиспользуется в новых проектах.
➡️Транзитивные зависимости — уязвимости попадают в проекты через несколько уровней вложенности дерева зависимостей, про которые зачастую никто не в курсе.
➡️Усталость от уведомлений — сканеры безопасности приносят огромные простыни уязвимостей без четкой приоритизации, что влияет, конечно же, на желание админов и разрабов что-то исправлять.
➡️Приоритет отдается скорости разработки — чтобы выполнить задачи бизнеса и уменьшить метрику Time To Market все жертвуют "гигиеной" кода.

❤️Уровень экосистемы
Зависимость от EOL-компонентов или "заброшенных" мейнтейнерами компонентов создает "вечные уязвимости", которые невозможно исправить и единственный путь — это масштабная миграция и переход на новые фреймворки, что, конечно, повлияет на сроки достижения бизнес-целей и доступность сервисов:
➡️Риск EOL характерен для всех экосистем (npm — 18,5%, Maven Central — 13,4%, PyPI — 11,6%, NuGet — 25,7%).
➡️До 15% используемых в организации зависимостей находятся в статусе EOL.
➡️Компания HeroDevs, которая занимается заказной доработкой неподдерживаемого ныне ПО с открытым исходным кодом, оценивает количество EOL-версий пакетов с известными уязвимостями в диапазоне от 81 000 до 400 000 шт.

⌨️Влияние ИИ-инструментов
Отдельно подсвечивается, что использование ИИ-инструментов кратно масштабирует выше описанные проблемы:
➡️ИИ обучается на неполных данных из NVD и транслирует эти "знания" в массы.
➡️Рекомендует исторически популярные версии ПО, которые зачастую содержат известные эксплуатируемые уязвимости, или находятся в статусе EOL.
➡️Генерирует манифесты с устаревшими версиями компонент и увеличивает (без подтвержденной необходимости) кол-во используемых зависимостей.

В качестве яркой лакмусовой бумажки всех описанных проблем в отчете приводится статистика скачиваний уязвимой версии библиотеки Log4j: за 2025 год уязвимая к атакам Log4Shell версия была скачана более 42 млн раз.😅

p.s. О предлагаемых авторами мерах по решению проблем — в следующем посте.

#vm #cve #nvd #ai #supplychain #risk #eol #software #vulnerability #sonatype #report

⚙️Совершенствование процесса управления уязвимостями по версии Sonatype (в продолжение предыдущего поста)

❤️Уровень данных
🟢Обогащение данных — не полагаться только на базу NVD, а использовать данные из различных TI-источников, мейнтейнеров, активно развивающихся или надежных источников информации об уязвимостях (OSV.dev, GitHub Security Advisories).
🟢Добавление контекста — уточнять диапазон уязвимых версий, признаки эксплуатации/эксплуатабельности и статусы EOL (End Of Life).
🟢Улучшение идентификация — сбор информации ("отпечатков") о загружаемых в обход официальных репозиториев зависимостях с целью недопущения их распространения в новые проекты и передача верифицированных данных в ИИ-инструменты.

❤️Уровень потребления
🟢Блокировка по умолчанию — использование файрволов на уровне репозиториев и политик контроля для блокировки известных уязвимых версий.
🟢Стандартизация безопасных входных данных — внедрение золотых образов, шаблонов зависимостей и внутренних каталогов/разрешенных версий (белых списков).
🟢Автоматизация гигиены — использование ботов для Pull Requests (для автоматического обновления зависимостей) и непрерывного обновления с учетом совместимости, управление агентами сборки/ИИ для использования разрешенных источников (в идеале тянуть все через прокси-репозиторий компании).

❤️Уровень экосистемы
🟢EOL как неприемлемый риск — выявление, приоритизация и удаление неподдерживаемых версий.
🟢Определение стратегий обновлений — планирование крупных обновлений, переходов на актуальные фреймворки или вывод из эксплуатации.
🟢Снижение риска долгосрочного использования — проактивное удаление "теневых" зависимостей (определенных благодаря отпечаткам на уровне данных), использование сервисов расширенной поддержки ПО только в виде временной меры.

❤️Уровень ИИ
🟢Ограничение рекомендаций — ИИ-инструменты должны предлагать компоненты только из разрешенных источников.
🟢Управление обучением модели — обучение и настройка моделей ИИ на обогащенных метаданных (с уровня данных).
🟢Верификация результатов — постоянный мониторинг манифестов, сгенерированных ИИ-инструментами, на наличие уязвимых/EOL/"теневых" версий и внедрение механизмов блокировки на уровне зависимостей в рабочий процесс.

#controls #vm #mitigation #ai #eol #ti #nvd #kpi #firewall #guardrails

Ребята из Wiz запустили очередной интересный проект "Offensive AI Benchmark", в рамках которого они измеряют насколько эффективно ИИ-инструменты справляются с задачами из области наступательной кибербезопасности.

В ходе тестов было оценено 25 комбинаций агентов и языковых моделей по 257 подготовленным сценариям, разделенным на несколько категорий: от поиска зеродеев до эксплуатации мисконфигов облачных инфраструктур. Все подробности по методологии расчета и результатам лежат на странице проекта: также ожидается подробный технический отчет по испытаниям.

Что интересного увидел из презентованных результатов бенчмарка:
🟠На успешность выполнения узкоспециализированных задач сильно влияет качество связки модели и ИИ-агента. Как видно из таблицы результатов, связки «родных» моделей с агентами оказались более эффективными.
🟠Обнаружение уязвимостей в API многим участникам далось вполне успешно — у лидеров по 84,2%. Это довольно высокий показатель для таких специфических задач. Возможно, дело в том, что логика API строго структурирована🤷‍♀️
🟠В поиске зеродеев, ожидаемо, всё плохо: лучший результат у лидеров — всего 27,3% успеха.
🟠Можно сказать, что модель GPT-5.2 провалилась — впрочем, как и Grok 4. Весь топ-10 заняли различные комбинации моделей Gemini и Claude Opus.

#ai #offensive #benchmark #api #zeroday #vulnerability #llm

Раффаэль Марти, довольно известная личность в ИБ-сообществе, представил свою модель оценки зрелости SIEM и AI SOC, которая призвана объективно оценить зрелость платформ безопасности, прежде всего, опираясь на архитектурные и операционные возможности, исключая классический подход на основе списка функций, дорожных карт и маркетинговых обещаний.

Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам:
🔘Данные и управление
🟢Федерализация данных
🟢Оптимизация конвейера
🟢Осведомленность о данных
🟢Производительность
🟢Современный ИИ
🔘Детектирование и обучение
🟢Поиск гипотез
🟢Автоматическая настройка
🟢Адаптивное детектирование
🟢Память детектирования
🔘Риски и контекст
🟢Осведомленность об активах
🟢Оценка риска в реальном времени
🟢Контекст риска
🟢Бизнес-контекст
🔘Операционная реальность
🟢Интерфейс запросов
🟢Автоматизация триажа
🟢Обнаружение слепых зон
🟢Готовность к применению мер в режиме реального времени.

По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных.

Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки.

#framework #maturity #soc #siem #ai

А вот еще один фреймворк оценки зрелости AI SIEM/SOC➕

ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
🔗Режим оценщика (Evaluator) — подходит для прямого сравнения продуктов "из коробки" с рынка, условно отвечая на вопрос, какой вендор дает больше возможностей за свои деньги.
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
🔗Режим архитектора (Builder) — более технический уровень, здесь уже оценивается зрелость функционала, учитывая контекст (организации, команды SecOps, присущих рисков).
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).

Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.

#framework #maturity #soc #siem #ai

США ввели санкции против российских компаний, специализирующихся на покупке 0-day эксплойтов (например, Operation Zero и Advanced Sec).
Причина: использование эксплойтов в кибератаках против США и союзников нарушение прав интеллектуальной собственности😆
Да, да, вы не ошиблись – главный причиной стало то, что компания Operation Zero купила (у кого-то) восемь эксплойтов, созданных для эксклюзивного использования правительством США, а затем продала их кому-то еще)))

#exploit #sanctions #usa #operationzero

Vulncheck опубликовали топ-50 регулярно эксплуатируемых уязвимостей 2025 года🔝
В реестре содержится информация о самой уязвимости (со ссылкой на базу Vulncheck), оценке CVSS, кол-ве публичных эксплойтов, связанных групп злоумышленников, шифровальщиков и ботнетов.

Помимо топа уязвимостей, также было опубликовано исследование об эксплуатации уязвимостей в 2025 году (ниже прикрепил).
Из интересного:
🟠В каталог Vulncheck KEV было добавлено 884 уязвимости с признаками эксплуатации, причем почти половина из них эксплуатировалось злоумышленниками до момента присвоения идентификатора CVE.
🟠Для 21% опубликованных в 2025 году уязвимостей был доступен эксплойт, однако лишь 1% уязвимостей эксплуатировался злоумышленниками.
🟠Рост использования ИИ для генерации кода привел к появлению большого количества нерабочих эксплойтов, что значительно добавило информационного шума в приоритизацию устранения уязвимостей и разведку киберугроз.
🟠Чуть больше половины уязвимостей, используемых шифровальщиками, были зеродеями, а для трети таких уязвимостей до сих пор нет эксплойтов (публичных или в продаже).

#cve #vm #exploit #report #vulncheck #kev #ransomware

Авторы фреймворка NOVA* запустили TI-портал PromptIntel, на котором аккумулируется информация об индикаторах компрометации промптов (IoPC) — специфических паттернах или артефактах внутри промптов, подаваемых в LLM, которые указывают на потенциальную эксплуатацию, злоупотребление или неправомерное использование модели.

Для каждого индикатора компрометации есть содержание "вредоносного" промпта, теги и метки, описывающие вектор угрозы, связь с моделями LLM, описание возможного негативного влияния, ссылки на источники информации и правила NOVA.
А еще у них там есть раздел MoltThreats, представляющий собой фид данных, где ИИ-агенты делятся информацией об атаках, индикаторах компрометации и мерах защиты🤖

*Фреймворк NOVA — это про генерацию правил (а-ля YARA) для мониторинга и обнаружения подозрительных запросов к LLM, описываемых ключевыми словами, регулярками и т.п.

#ai #llm #prompt #ioc #iopc #ti #nova #threat #framework