AlexRedSec

CISO одной американской организации получил письмо-уведомление об утечке данных в результате кибератаки на AT&T и разнёс их в пух и прах😅 Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений😕 Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать). p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход🤔

Очередная подборка книг по кибербезопасности от издателя Pearson на Humble Bundle🤓 Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть🥲 В бандле следующие книги: ➡️CompTIA Security+ SY0-701 Cert Guide - 2024 ➡️Network Security, 3rd Edition - 2022 ➡️Zero Trust Architecture - 2023 ➡️Cybersecurity Myths and Misconceptions - 2024 ➡️In Zero Trust We Trust - 2024 ➡️Database and Application Security: A Practitioner's Guide - 2024 ➡️Ransomware and Cyber Extortion - 2022 ➡️Designing and Developing Secure Azure Solutions ➡️The Modern Security Operations Center - 2021 ➡️A Practical Guide to Digital Forensics Investigations, 2nd Edition - 2021 ➡️Data Breaches - 2019 ➡️Microsoft Defender for Cloud - 2022 ➡️Microsoft Sentinel, 2nd Edition - 2022 ➡️Effective Cybersecurity - 2021 ➡️Information Privacy Engineering and Privacy by Design - 2021 ➡️Building a Career in Cybersecurity - 2023 ➡️Microsoft Azure Network Security - 2021 ➡️Securing 5G and Evolving Architectures - 2021 p.s. Не самый топовый бандл, но в подборке есть хорошие книги. Половину из них точно можно найти в "свободном" доступе😏

Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔 Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁 Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨‍💻 Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз: ➡️Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять). ➡️Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже. ➡️Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию. Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐 Дерево принятия решения основывается на четырех критериях: 🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО? 🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО? 🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО? 🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)? В итоге всё сводится к трём действиям: 🛠 Удалению неиспользуемого ПО 🛠 Настройке и применению автопатчинга 🛠 "Бездействию", а точнее — обновлению ПО по необходимости 🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄

На днях агентство CISA объявило о запуске полезного проекта CISA Vulnrichment, целью которого является обогащение информации об уязвимостях для упрощения (полуавтоматизации) процесса приоритизации устранения в соответствии с методикой SSVC👍 В рамках данного проекта производится обогащение записей CVE информацией для таких критериев (точек принятия решений) методики SSVC как: ➡️Exploitation (состояние эксплуатации) ➡️Automatable (автоматизируемость эксплуатации) ➡️Technical Impact (техническое воздействие) Если вышеуказанные критерии получают значения "Active Exploitation/Proof of Concept", "Automatable" и "Total Technical Impact" соответственно, то проводится более глубокий анализ уязвимости и дополнительно изучается/уточняется/обогащается информация о дефекте CWE, оценке CVSS и строке CPE🔥 CISA обещает, что в ближайшее время проект будет активно развиваться и получать новый функционал👌

Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️). На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐

Встречаем и изучаем очередное исследование "2024 Verizon Data Breach Investigations Report (DBIR)". По традиции много букв, цифр и статистики по итогам анализа более 30 тысяч инцидентов ИБ. Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно😁 Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:

...the median time to click on a malicious link after the email is opened is 21 seconds and then only another 28 seconds for the person caught in the phishing scheme to enter their data. This leads to an alarming finding: The median time for users to fall for phishing emails is less than 60 seconds.

Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше😐 Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд😐 А в целом, читайте отчет и черпайте для себя полезную информацию👍

Доклады с Black Hat ASIA 2024 вот выложили🆒