AppSec & Compliance

Знаете ли вы, что если сложить всех вендоров, которые находятся во всех двух с половиной десятков магических квадратов 🎮 Gartner по ИБ, то наберется 144 компании. При этом только в мире, на который и работает Gartner (Америка и Европа), 3750+ вендоров ИБ. То есть Gartner описывает всего 4% игроков своей целевого рынка. А в одном только Китае 🇨🇳 еще столько же ИБ-компаний, которые Gartner вообще не учитывает даже в отчетах Cool Vendors. Можно было бы предположить, что Gartner включает в список только лидеров с большой клиентской базой, оборотами, показывающими постоянный рост, но и это не так. Например, вы не увидите в квадратах Gartner таких единорогов 🦄, как Wiz (оценка в 10 ярдов), Tanium (9 ярдов), Lacework (8 ярдов), Fireblocks (8 ярдов), 1Password (почти 7 ярдов), Socure, Abnormal Security, Arctic Wolf, Illumio, Transmit Security. Последние пять имеют оценку меньше 5, но больше 1 миллиарда долларов. 🟥 я бы тоже включил в этот список (тем более, что PT раньше был в магических квадратах Gartner ☝️) с оценкой более двух миллиардов долларов (правда, PT не единорог 🦄, так как является публичной компанией). Вот и как после этого ориентироваться на Gartner? Не хочу ставить под сомнение их аналитику, тем более, что у них есть неплохие исследования, но и строить на ней процесс принятия решений я бы не стал. Тем самым CISO ограничивают себя в огромном количестве игроков, которые могли бы решить проблему заказчиков более эффективно. А для России ориентироваться так и вовсе уже странно... 💡

GitLab: CIS Benchmark Всем привет! В апреле этого года GitLab совместно с Center for Internet Security (CIS) выпустили CIS GitLab Benchmark (~ 301 страница), который можно найти в приложении. В документе содержится перечень рекомендаций для аудита и настройки механизмов безопасности при использовании GitLab. Рекомендации делятся на 5 глобальных блоков: 🍡Source Code (исходный код) 🍡Build Pipelines (среда и конфигурационный файл сборки) 🍡Dependencies (зависимости) 🍡Artifacts (артефакты) 🍡Deployments (конфигурационные файлы для развертывания приложения) Документ похож на CIS Benchmark for Supply Chain, который CIS выпускала ранее. Он может быть крайне полезен, если вы используете GitLab и хотите настроить его с учетом ИБ-практик

Более 826 новых уязвимостей добавили в NVD за один день 3 мая. Картинка из сервиса CVE.icu, который визуализирует изменения NVD. Также есть выгрузка этих уязвимостей. Большую часть из них, 709, добавили ZDI. А чего это они вдруг? 🤔 В ноябре прошлого года у меня был пост, что ряд трендовых уязвимостей, которые репортили ZDI, отображаются в NVD как "CVE ID Not Found"? Так вот, похоже гении из Trend Micro ZDI наконец обратили внимание на то, что их CVE-шки до NVD не доходят и решили это пофиксить таким вот массовым импортом проблемных CVEшек. 🤷‍♂️ При этом наглядно продемонстрировав масштаб бедствия. 🙂 Не, ну так-то лучше поздно, чем никогда. Но задержку между заведением ZDI-CAN идентификатора и появлением уязвимости в NVD теперь будет занятно посчитать. 😏 Например, для эксплуатируемой в фишинговых атаках RCE - WinRAR CVE-2023-40477 она составила 260 дней. 🤠 PS: окончательная цифра за 3 мая - 847 CVE, но не суть. @avleonovrus #NVD #ZDI #thoseamericans #CVEicu

🤯

The Decompilation Wiki - Decompilation Wiki https://decompilation.wiki/

OSV: автоматическое устранение уязвимостей в зависимостях Всем привет! В апреле open source сканер от Google – OSV – получил интересный функционал: помощь в устранении уязвимостей в зависимостях. На текущий момент функционал находится в стадии [Experimental], поддерживается только package.json и package-lock.json. OSV предлагает следующее: 🍭 Анализ графа зависимостей с целью идентификации минимальных изменений, необходимых для устранения уязвимостей 🍭 Расстановка приоритетов в обновлении прямых зависимостей на основании количества устраненных уязвимостей в транзитивных 🍭 Расстановка приоритетов по устранению уязвимостей на основании «глубины/уровня» зависимости, уровня критичности и не только OSV fix может не только помогать AppSec специалисту в анализе данных об уязвимостях, но и автоматически обновлять зависимости. Подробнее об использовании функционала можно прочесть в документации на решение. P.S. Еще раз напоминаем, что эти возможности находятся в стадии [Experimental] и лучше не использовать это "в бою"