Решил причесать свою подборку полезных и интересных (на мой вкус) ресурсов на тему управления уязвимостями и разместил в открытом доступе🆓
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице😉

p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
🟢Добавлен ресурс Talkback.sh — отличный агрегатор новостей на тему ИБ, где также есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости.
🟢Добавлен ресурс CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
🟢Ресурс Cytidel Top Trending закрыт.

#cve #vm #bookmarks #prioritization #trends #cvss #epss

Модель зрелости использования обманных систем🕸

Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.

Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").

#ddp #deception #honeytoken #canary #maturity #framework

Компания Microsoft выпустила интересную аналитику о "поведенческих паттернах" работников на основе телеметрии использования продуктов семейства Microsoft 365, констатируя, что рабочий день становится "бесконечным":
1️⃣ Проверкой рабочей почты в 6 утра занимается около 40% пользователей, а к 10 вечера почти треть активных работников снова открывают почту для прочтения писем. По выходным каждый пятый проверяет почту до полудня, 5% — в воскресенье вечером.
2️⃣ Среднестатистический работник получает 117 электронных писем в день, большинство из которых просматриваются менее чем за 60 секунд.
3️⃣ Половина всех встреч проходит между 9–11 утра и 13–15 дня. Больше всего встреч назначают на вторник, а меньше всего — в пятницу. Именно в эти периоды наблюдаются естественные всплески производительности работников, но большое количество встреч, писем и сообщений отвлекает их и приводит к потере концентрации и расфокусу.

❓Причем тут ИБ, скажете вы?
🟠Как минимум, обладая такой информацией об активности пользователей, злоумышленники могут планировать фишинговые атаки — если посмотреть крупные исследования о фишинге, то можно увидеть, что авторы очень часто указывают данные о "популярных" часах, в которые чаще всего рассылаются фишинговые письма.
🟠Если вернуться к первому пункту, то с точки зрения защиты можно подумать о том, работает ли ваш SOC в 6 утра и на сколько быстро готовы сотрудники ИБ реагировать на инциденты в такую рань?🥱
Также можно провести киберучения в разное время суток и проанализировать как сотрудники реагируют на получение подозрительных писем в зависимости от фаз рабочего дня👨‍💻
🟠Во втором пункте говорится об огромном кол-ве получаемых писем и довольно коротком времени их чтения — менее 60 секунд. Хотя, ещё несколько лет назад в аналогичных исследованиях заявляли, что на одно письмо вообще уходит не более 9 секунд, а для того, чтобы попасться на фишинг достаточно одной минуты.
🟠Казалось бы, что большое кол-во писем и их стремительное прочтение должно приводить к тому, что и полученное фишинговое письмо может "утонуть в почтовом болоте", но удачно подобранный психологический вектор, например, связанный со срочностью и важностью, в письме, присланном в наиболее загруженные периоды (см. пункт 3) работы, может сработать, т.к. сотрудник будет невнимателен и рассеян😴

#phishing #фишинг #psychology #training

Компания Pillar Security опубликовала разработанный совместно с коллегами по цеху фреймворк SAIL (Secure AI Lifecycle), представляющий собой процессно-ориентированное руководство по разработке и развертыванию безопасных ИИ-приложений🧠

По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.

В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.

#ai #framework #risk #sail #lifecycle

А вот ещё один новый ресурс, посвященный безопасности ИИ-агентов, от активного участника проектов OWASP🧠

Agentic Security Hub включает в себя:
➡️Описание ключевых компонентов ИИ-агентов
➡️Описание и сравнение архитектур ИИ-агентов.
➡️Реестр угроз с описанием векторов атак.
➡️Реестр защитных мер.
➡️Опросник по стандарту OWASP AISVS (AI Security Verification Standard).
➡️Опросник самооценки по OWASP Securing Agentic Applications guide для формирования модели угроз и рекомендаций по защитным мерам.
➡️Маппинг мер фреймворка NIST AI RMF на OWASP AISVS.
➡️База уязвимостей Agentic Vulnerability Database (AVD) – правда пока раздел в разработке и в базе есть только три записи про уязвимости ИИ-агентов.

Все разделы связаны друг с другом кросс-ссылками, а часть имеет также инструменты для визуализации.
Также есть библиотека полезных ресурсов, содержащая на текущий момент ссылки на 219 различных документов по теме безопасности ИИ.

#ai #framework #controls #aisvs #archirecture #owasp #avd

🧮System Security Context Vector (SSCV) Framework

Ещё одна методика приоритизации устранения уязвимостей🤪 Скоро закончатся уникальные аббревиатуры под названия каждой новой методики😂
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
1️⃣ Актуальность версии операционной системы (Operating System Currency)
2️⃣ Доступность ИТ-системы по сети (Network Exposure)
3️⃣ Используемые механизмы контроля доступа (Access Control)
4️⃣ Тип защиты конечных точек (Endpoint Protection)
5️⃣ Категория обрабатываемых данных (Data Sensitivity Level)
6️⃣ Статус установки патчей (Patch Status)

Из основных плюсов:
🔗Понятные критерии контекста.
🔗Возможность автоматизации подсчета метрик и оценки CRS.
🔗Подробное руководство и калькулятор расчета оценки.
Из явных минусов:
🔗Не учитывается бизнес-критичность ИТ-системы.
🔗В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.
🔗Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов (из предыдущего пункта).

Ссылки:
📥Официальный сайт
📥Github

#cvss #sscv #prioritization #vm #vulnerability #context

🛡 Application Attack Matrix — созданная сообществом MITRE-подобная матрица тактик, техник и процедур используемых злоумышленниками при атаках на веб-приложения.

🟡Матрица включает 41 технику, сгруппированную по 7 тактикам, которые, в свою очередь, организованы по 4 фазам атак на веб-приложения.
🟡В качестве основной причины создания отдельной матрицы заявляется то, что MITRE ATT&CK фокусируется на техниках, покрывающих инфраструктуру и конечные точки/технологии (ОС, сети, облака, мобильные устройства и контейнеры), "не заглядывая" на уровень веб-приложений. При этом в самой матрице описано половина техник, присутствующих в "материнской" матрице.
🟡Для каждой (ну почти) техники есть описание, возможные подтехники, примеры процедур, меры противодействия, методы обнаружения.
🟡Есть разбор (довольно неплохой) 24 "громких" атак (Regression,PyLoose, XZ-Utils Backdoor, и т.п.).
🟡Авторы обещают поддерживать и развивать проект.

#mitre #matrix #appsec #application #ttp #mitigation

🔥Positive Technologies запустили свою базу данных уязвимостей: с трендами и с использованием LLM.

Для каждой уязвимости есть:
1️⃣Описание – как от каждого из источников информации (NVD, БДУ ФСТЭК, Reddit, Telegram, CISA и т.п.), так и краткое изложение от прикрученного ИИ.
2️⃣Теги – есть ли эксплойт, патч, тип уязвимости/связанной атаки.
3️⃣Связанные дефекты CWE.
4️⃣Связанные идентификаторы из других баз данных уязвимостей или бюллетеней вендоров.
5️⃣Перечень подверженных уязвимости продуктов (ПО, ОС и т.п.).
6️⃣Ссылки на источники информации, эксплойты, обсуждение в соц.сетях и новостных ресурсах.
7️⃣В разделе трендов можно также посмотреть статистику по упоминанию уязвимости в соц.сети X (посты, репосты, суммарная аудитория подписчиков, временной график) и текст постов из различных ресурсов.

Выглядит солидно, даже темная тема есть😂
Добавил на страничку закладок по теме VM👍

#vm #vulnerability #dbugs #trends #nvd #bdu #cisa

Опаснее фишинга может быть только симуляция фишинга😄

Компания Living Security совместно с Cyentia Institute выпустила исследование на тему управления человеческими рисками в кибербезопасности, проанализировав данные 100+ организаций, пользующихся её HRM-решением.

Из интересного:
➡️10% сотрудников ответственны за 73% всех случаев девиантного рискованного поведения (клики по фишинговым письмам, загрузка малвари и т.п.).
Схожие результаты декларировались в другом совместном с Cyentia Institute исследовании компании Mimecast.
➡️Удалёнщики и сотрудники с неполной занятостью зачастую оказываются более благонадежными, чем их офисные коллеги👨‍💻
Ещё один аргумент за удалёнку😏
➡️78% сотрудников фактически приносят больше пользы в снижении рисков, чем вреда в их увеличении.
➡️Около 8% сотрудников можно отнести к категории "хаотично рискованных", т.е. к категории особо проблемных, которых почти невозможно перевоспитать и к которым стоит принимать активные меры (как минимум разместить "под колпаком SOCа").
➡️Значительная часть профиля риска сотрудников обусловлена не их поведением, а внешними событиями (угрозами, нацеленными на них). Т.е. не всегда стоит винить сотрудников в том, что они не распознали угрозу: надо уделять внимание в том числе техническим и организационным мерам, способным защитить такую категорию сотрудников.
➡️Топ-20 высокорисковых событий (см. скрин) возглавили действия с фишингом (клики, переходы), причем по большей части именно учебный фишинг, что в очередной раз подтверждает, что результаты таких симуляций довольно не репрезентативны.
➡️Неожиданно было увидеть в том же топе, что несанкционированное изменение настроек EDR встречалось чаще, чем выгрузка чувствительных данных😑 Видимо в организациях из выборки с рядовыми сотрудниками разобрались, а с админами ещё нет😅
➡️В среднем, компании способны обнаружить менее половины (43%) всех событий и действий, составляющих человеческий риск: для увеличения видимости необходимо собирать больше данных из источников, позволяющих оценить поведение сотрудников (например, из решений EDR/IAM/NGFW).

#awareness #risk #hrm #phishing #training #riskmanagement