На днях Microsoft опубликовала исследование о построении комплексной программы управления рисками инсайдерских угроз.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
👍3
Недавно набрел на интересный продукт SCORES (Seconize Contextual Risk Enumeration System), представляющий собой инструмент для оценки рисков, а точнее приоритизации известных уязвимостей. В принципе, проекту уже не первый год, но заметил его только недавно.
Разработчики заверяют, что их проект нивелирует недостатки стандартов CVSS и EPSS путем конкретизации контекста:
🔸Самой уязвимости - учитывается информация о наличии эксплоита и активных вредоносных кампаниях, использующих данный эксплоит.
🔸Подверженности актива данной уязвимости - доступности его напрямую из сети Интернет, классификации и ранжирования обрабатываемой информации и типа сервиса (для внутреннего использования или для внешних клиентов).
🔸Организации - в зависимости от сферы деятельности и местоположения (страны).
Из типичных минусов:
🔹В бесплатной версии продукта формируются статические общедоступные отчеты (да, губу раскатал я).
🔹Сам алгоритм оценки риска не раскрывается (ну, это как бы логично для коммерческого продукта).
🔹Степень доверия к источникам TI (на вкус и цвет, но это в платной версии - в бесплатной все ручками ищем).
В целом, сам проект мне нравится, можно найти применение или просто оценить с помощью стороннего инструмента на сколько хорошо у вас выстроена приоритизация уязвимостей в организации.
p.s. Конечно, продукт не уникальный в своем роде, но для "потыкаться" вполне пойдет.
Разработчики заверяют, что их проект нивелирует недостатки стандартов CVSS и EPSS путем конкретизации контекста:
🔸Самой уязвимости - учитывается информация о наличии эксплоита и активных вредоносных кампаниях, использующих данный эксплоит.
🔸Подверженности актива данной уязвимости - доступности его напрямую из сети Интернет, классификации и ранжирования обрабатываемой информации и типа сервиса (для внутреннего использования или для внешних клиентов).
🔸Организации - в зависимости от сферы деятельности и местоположения (страны).
Из типичных минусов:
🔹В бесплатной версии продукта формируются статические общедоступные отчеты (да, губу раскатал я).
🔹Сам алгоритм оценки риска не раскрывается (ну, это как бы логично для коммерческого продукта).
🔹Степень доверия к источникам TI (на вкус и цвет, но это в платной версии - в бесплатной все ручками ищем).
В целом, сам проект мне нравится, можно найти применение или просто оценить с помощью стороннего инструмента на сколько хорошо у вас выстроена приоритизация уязвимостей в организации.
p.s. Конечно, продукт не уникальный в своем роде, но для "потыкаться" вполне пойдет.
👍6🤔1
А вот еще один интересный проект нашел. Называется Privado - опенсорсный (!) инструмент статического анализа кода для обнаружения точек обработки и передачи персональных данных в коде и построения потоков данных.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
👍6🔥5🌚1
RedHunt Labs решили просканировать Интернет в поисках незащищенных кластеров Kubernetes и получили удивительные (нет😐) результаты.
Для этого они написали тулзу KubeStalk (и выложили исходники), с помощью которой за три дня прошерстили всю глобальную паутину (с небольшими исключениями).
Из интересного:
🔶 Нашли 574 913 неправильно сконфигурированных кластеров.
🔶 61% кластеров размещены в общедоступных облаках.
🔶 Наиболее часто встречаемые версии незащищенных кластеров - 1.21 и 1.22. Это указывает на то, что 60% обнаруженных кластеров не обновлялись больше года.
🔶 Кластеров с актуальной версией (1.25) обнаружено менее 1%.
🔶 Около 4 тыс. кластеров подвержены уязвимостям с оценкой CVSS >=8 (см. рис.)
🔶 Ну и несколько кластеров уже были скомпрометированы злоумышленниками - на них было обнаружено вредоносное ПО и IoC, свидетельствующие об этом.
В конце отчета, как всегда, призыв использовать лучшие практики безопасной настройки кластеров Kubernetes.
И здесь хочу поделиться ссылкой на интересную статью про недокументированные советы по безопасности Kubernetes, где приведены три таких совета:
🔶 Безопасному кластеру нужна безопасная организация - как верно замечает автор, на сколько бы кластер не был безопасно настроен по всем гайдам, если в организации бардак, а персонал не обучен, то всё будет напрасно.
🔶 Следите за изменяемыми элементами механизма RBAC в Kubernetes - такие элементы как "глаголы" (verbs) и "ресурсы" (resources) плохо документируются в API Kubernetes. Так что RBAC не идеален...
🔶 Помните, что Kubernetes, по сути, это RCE as a Service😁
Т.е. смиритесь и уделяйте внимание аутентификации, поставьте в кубер IDS и диверсифицируйте инфраструктуру - разверните несколько кластеров.
Для этого они написали тулзу KubeStalk (и выложили исходники), с помощью которой за три дня прошерстили всю глобальную паутину (с небольшими исключениями).
Из интересного:
🔶 Нашли 574 913 неправильно сконфигурированных кластеров.
🔶 61% кластеров размещены в общедоступных облаках.
🔶 Наиболее часто встречаемые версии незащищенных кластеров - 1.21 и 1.22. Это указывает на то, что 60% обнаруженных кластеров не обновлялись больше года.
🔶 Кластеров с актуальной версией (1.25) обнаружено менее 1%.
🔶 Около 4 тыс. кластеров подвержены уязвимостям с оценкой CVSS >=8 (см. рис.)
🔶 Ну и несколько кластеров уже были скомпрометированы злоумышленниками - на них было обнаружено вредоносное ПО и IoC, свидетельствующие об этом.
В конце отчета, как всегда, призыв использовать лучшие практики безопасной настройки кластеров Kubernetes.
И здесь хочу поделиться ссылкой на интересную статью про недокументированные советы по безопасности Kubernetes, где приведены три таких совета:
🔶 Безопасному кластеру нужна безопасная организация - как верно замечает автор, на сколько бы кластер не был безопасно настроен по всем гайдам, если в организации бардак, а персонал не обучен, то всё будет напрасно.
🔶 Следите за изменяемыми элементами механизма RBAC в Kubernetes - такие элементы как "глаголы" (verbs) и "ресурсы" (resources) плохо документируются в API Kubernetes. Так что RBAC не идеален...
🔶 Помните, что Kubernetes, по сути, это RCE as a Service
Т.е. смиритесь и уделяйте внимание аутентификации, поставьте в кубер IDS и диверсифицируйте инфраструктуру - разверните несколько кластеров.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5🐳4👍3😱1
Ассоциация IAPP опубликовала очередной (шестой) ежегодный сборник поставщиков технологий privacy-сегмента.
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных👌
В отчете перечисляется 364 компании с краткой справкой о каждой и описанием технических решений, которые они разрабатывают в области приватности и конфиденциальности данных.
Интересный сборничек - можно пробежаться и посмотреть кто есть на рынке и какие решения реализуют.
Кстати, в перечне компаний есть парочка отечественных
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1👏1
Минцифры презентовало раздел про кибербезопасность на сайте Госуслуг и сайт о простых правилах кибербезопасности - "КиберЗОЖ".
Ну что сказать, круто👍
Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер 😉
Ну что сказать, круто
Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4🤡1🌚1
AlexRedSec
Минцифры презентовало раздел про кибербезопасность на сайте Госуслуг и сайт о простых правилах кибербезопасности - "КиберЗОЖ". Ну что сказать, круто 👍 Правда, в рекомендациях по проверке подозрительных файлов пока красуется VirusTotal, а не Национальный мультисканер…
Please open Telegram to view this post
VIEW IN TELEGRAM
Газета.Ru
Сбер запустил библиотеку знаний по киберграмотности «Кибрарий»
Заместитель председателя правления Сбербанка Станислав Кузнецов в интервью телеканалу «Россия 24» заявил, что Сбер запустил библиотеку знаний в области кибербезопасности «Кибрарий». По его словам, это поможет в информировании граждан о мерах безопасности...
👏3👍1
Вот бывает захочется чего-то эдакого, найдёшь где заказать можно такое. Зайдёшь на сайт, посмотришь - дорого всё стоит и уйдёшь, закрыв вкладку с сайтом. А админу сайта потом всё чинить после тебя, негоже - надо ему возместить ущерб😊
#пятничноеудивительное
#пятничноеудивительное
🤣6🌭2👍1🥴1🌚1
Репозиторий с ссылками на видео (и/или презентации) докладов с международных конференций по ИБ за 2022 год (50 конференций получилось пока).
Для просмотра холодными осенними вечерами😉
Для просмотра холодными осенними вечерами
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
Watch the latest awesome security talks around the globe - GitHub - TalEliyahu/awesome-cybersecurity-conferences: Watch the latest awesome security talks around the globe
👍5🔥2👏1🌚1
The Enchiridion of Impetus Exemplar - под этим страшным названием скрывается очень приличное и большое руководство (обзор скорее) таких методологий моделирования угроз, как:
🔶 Microsoft Threat Modeling
🔶 PASTA
🔶 OCTAVE
🔶 TRIKE
🔶 LINDDUN
🔶 VAST
🔶 NIST SP 800-154
🔶 OWASP TMP
🔶 TARA
🔶 IDDIL/ATC
🔶 hTMM
🔶 QTMM
🔶 ID3 (от автора гайда)
Помимо обзора самих методологий в гайде приведено краткое описание различных фреймворков, стандартов, библиотек и утилит, необходимых для полноценного моделирования угроз.
p.s. В качестве бонуса ссылка на репозиторий с подборкой моделей угроз для девайсов, технологий, ПО и даже для человека😁
#modeling #framework
🔶 Microsoft Threat Modeling
🔶 PASTA
🔶 OCTAVE
🔶 TRIKE
🔶 LINDDUN
🔶 VAST
🔶 NIST SP 800-154
🔶 OWASP TMP
🔶 TARA
🔶 IDDIL/ATC
🔶 hTMM
🔶 QTMM
🔶 ID3 (от автора гайда)
Помимо обзора самих методологий в гайде приведено краткое описание различных фреймворков, стандартов, библиотек и утилит, необходимых для полноценного моделирования угроз.
p.s. В качестве бонуса ссылка на репозиторий с подборкой моделей угроз для девайсов, технологий, ПО и даже для человека
#modeling #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2👍2👌1🌚1🌭1
SSVC - свежепрезентованная методика приоритезации устранения уязвимостей от агентства CISA!
Методика определяет четыре приоритета:
🔸 Track
🔸 Track*
🔸 Attend
🔸 Act
Дерево принятия решений базируется на следующих критериях и их значениях:
🔸 Exploitation status
🔸 Technical Impact
🔸 Automatable
🔸 Mission Prevalence
🔸 Public Well-Being Impact
🔸 Для удобства расчета приоритета сделали даже калькулятор.
🔸 Подробнее в самом руководстве по SSVC и блоге агентства CISA.
Методика определяет четыре приоритета:
🔸 Track
🔸 Track*
🔸 Attend
🔸 Act
Дерево принятия решений базируется на следующих критериях и их значениях:
🔸 Exploitation status
🔸 Technical Impact
🔸 Automatable
🔸 Mission Prevalence
🔸 Public Well-Being Impact
🔸 Для удобства расчета приоритета сделали даже калькулятор.
🔸 Подробнее в самом руководстве по SSVC и блоге агентства CISA.
👍7🔥2👏1🤔1
TAG Cyber Quarterly - сборники статей, исследований, интервью и небольших аналитических отчетов от компании TAG Cyber, занимающейся консалтингом и исследовании в области кибербезопасности.
В этих сборниках, конечно, много воды и немного рекламы тоже есть, но всё-таки можно выцепить что-то полезное для себя.
В этом году вышло 4 выпуска (ну да, кварталов же 4) со следующими темами:
🔹 Research as a Service - честно, не увидел в этом выпуске чего-то интересного.
🔹 Cyberwar - выпуск за второй квартал был уже интереснее с прогнозами и аналитиками на тему кибервойн. Судя по расчётам аналитиков, глобальная кибервойна нас ждёт в 2036 году🆘
🔹 China&Cybersecurity - да, целый выпуск отведен Китаю и его деятельности киберпространстве. В целом, ничего нового...
🔹 Cybersecurity metrics - пожалуй, самый интересный за этот год сборник. Есть несколько статей с которыми можно ознакомиться и, как минимум, проникнуться проблематикой измерения эффективности процессов кибербезопасности и приоритезации мер.
В этих сборниках, конечно, много воды и немного рекламы тоже есть, но всё-таки можно выцепить что-то полезное для себя.
В этом году вышло 4 выпуска (ну да, кварталов же 4) со следующими темами:
🔹 Research as a Service - честно, не увидел в этом выпуске чего-то интересного.
🔹 Cyberwar - выпуск за второй квартал был уже интереснее с прогнозами и аналитиками на тему кибервойн. Судя по расчётам аналитиков, глобальная кибервойна нас ждёт в 2036 году
🔹 China&Cybersecurity - да, целый выпуск отведен Китаю и его деятельности киберпространстве. В целом, ничего нового...
🔹 Cybersecurity metrics - пожалуй, самый интересный за этот год сборник. Есть несколько статей с которыми можно ознакомиться и, как минимум, проникнуться проблематикой измерения эффективности процессов кибербезопасности и приоритезации мер.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2👏1🤔1
Сегодня в одном ИБ-чатике подняли вопрос о монетизации мероприятий (ИБэшных). Сразу предложили делать ставки👁🗨
И тут я предположил, что естественным путем развития монетизации на bugbounty-площадках может стать букмекерское направление😏
Ну, а почему бы и нет? План такой:
1) Появляется новый проект/расширяется скоуп-программы.
2) Участники (не хакеры и не заказчики) делают ставки на то, что хакер X найдет уязвимость типа Y за время Z. Для разных типов уязвимостей можно сделать повышающие/понижающие коэффициенты.
3) После подтверждения баг-репорта подводятся итоги и все получают $$ Угадавшие со ставкой - банк за вычетом комиссий, хакер X тоже какую-нибудь надбавку к выплате получает, ну и площадка себе процентик🤑
Неплохая стимуляция к поиску уязвимостей и удовлетворение азарта наблюдающих. Много нюансов, но вполне реализуемо (в недалеком будущем).
p.s. Если кто из площадок возьмется за реализацию, то надеюсь на небольшой процент за идею😁
И тут я предположил, что естественным путем развития монетизации на bugbounty-площадках может стать букмекерское направление😏
Ну, а почему бы и нет? План такой:
1) Появляется новый проект/расширяется скоуп-программы.
2) Участники (не хакеры и не заказчики) делают ставки на то, что хакер X найдет уязвимость типа Y за время Z. Для разных типов уязвимостей можно сделать повышающие/понижающие коэффициенты.
3) После подтверждения баг-репорта подводятся итоги и все получают $$ Угадавшие со ставкой - банк за вычетом комиссий, хакер X тоже какую-нибудь надбавку к выплате получает, ну и площадка себе процентик🤑
Неплохая стимуляция к поиску уязвимостей и удовлетворение азарта наблюдающих. Много нюансов, но вполне реализуемо (в недалеком будущем).
p.s. Если кто из площадок возьмется за реализацию, то надеюсь на небольшой процент за идею
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2👍1🔥1🤔1