¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
AlexRedSec
Ir al canal en Telegram
Новости, исследования и размышления на тему кибербезопасности от Александра Редчица – эксперта в области ИБ, автора практических курсов. ➡️ https://x.com/ArchieScorp ➡️ https://linkedin.com/in/aredchits Поддержать канал - https://t.me/boost/alexredsec
Mostrar más3 987
Suscriptores
-124 horas
+507 días
+8630 días
Carga de datos en curso...
Canales Similares
Nube de Etiquetas
Menciones Entrantes y Salientes
---
---
---
---
---
---
Atraer Suscriptores
junio '26
junio '26
+112
en 7 canales
mayo '26
+33
en 2 canales
Get PRO
abril '26
+103
en 5 canales
Get PRO
marzo '26
+88
en 2 canales
Get PRO
febrero '26
+54
en 5 canales
Get PRO
enero '26
+49
en 3 canales
Get PRO
diciembre '25
+38
en 3 canales
Get PRO
noviembre '25
+66
en 2 canales
Get PRO
octubre '25
+77
en 2 canales
Get PRO
septiembre '25
+52
en 1 canales
Get PRO
agosto '25
+98
en 3 canales
Get PRO
julio '25
+149
en 9 canales
Get PRO
junio '25
+53
en 2 canales
Get PRO
mayo '25
+88
en 1 canales
Get PRO
abril '25
+98
en 7 canales
Get PRO
marzo '25
+154
en 2 canales
Get PRO
febrero '25
+115
en 3 canales
Get PRO
enero '25
+73
en 8 canales
Get PRO
diciembre '24
+106
en 2 canales
Get PRO
noviembre '24
+124
en 4 canales
Get PRO
octubre '24
+164
en 4 canales
Get PRO
septiembre '24
+959
en 11 canales
Get PRO
agosto '24
+97
en 5 canales
Get PRO
julio '24
+98
en 2 canales
Get PRO
junio '24
+39
en 1 canales
Get PRO
mayo '24
+29
en 1 canales
Get PRO
abril '24
+63
en 2 canales
Get PRO
marzo '24
+85
en 2 canales
Get PRO
febrero '24
+76
en 4 canales
Get PRO
enero '24
+116
en 2 canales
Get PRO
diciembre '23
+102
en 3 canales
Get PRO
noviembre '23
+180
en 5 canales
Get PRO
octubre '23
+82
en 3 canales
Get PRO
septiembre '23
+81
en 0 canales
Get PRO
agosto '23
+61
en 0 canales
Get PRO
julio '23
+44
en 0 canales
Get PRO
junio '23
+52
en 0 canales
Get PRO
mayo '23
+134
en 0 canales
Get PRO
abril '23
+48
en 0 canales
Get PRO
marzo '23
+38
en 0 canales
Get PRO
febrero '23
+159
en 0 canales
Get PRO
enero '23
+81
en 0 canales
Get PRO
diciembre '22
+10
en 0 canales
Get PRO
noviembre '22
+39
en 0 canales
Get PRO
octubre '22
+48
en 0 canales
Get PRO
septiembre '22
+17
en 0 canales
Get PRO
agosto '22
+105
en 0 canales
Get PRO
julio '22
+55
en 0 canales
Get PRO
junio '22
+68
en 0 canales
Get PRO
mayo '22
+475
en 0 canales
| Fecha | Crecimiento de Suscriptores | Menciones | Canales | |
| 26 junio | +2 | |||
| 25 junio | 0 | |||
| 24 junio | +8 | |||
| 23 junio | +7 | |||
| 22 junio | +7 | |||
| 21 junio | +9 | |||
| 20 junio | +19 | |||
| 19 junio | +11 | |||
| 18 junio | +5 | |||
| 17 junio | +1 | |||
| 16 junio | +3 | |||
| 15 junio | +2 | |||
| 14 junio | +21 | |||
| 13 junio | +3 | |||
| 12 junio | +1 | |||
| 11 junio | +4 | |||
| 10 junio | 0 | |||
| 09 junio | +1 | |||
| 08 junio | 0 | |||
| 07 junio | 0 | |||
| 06 junio | +3 | |||
| 05 junio | 0 | |||
| 04 junio | +4 | |||
| 03 junio | 0 | |||
| 02 junio | +1 | |||
| 01 junio | 0 |
Publicaciones del Canal
AI SOC Evaluation Framework – еще один вендор-независимый фреймворк для оценки применимости и эффективности AI SOC. На сайте проекта также есть онлайн-калькулятор.
Ключевые компоненты ASEF:
🟠Shift Map (карта жизненного цикла инцидента) Позволяет оценить применимость ИИ на каждом этапе обработки данных и угроз:
🟠Evaluator Scale (шкала автономности) – каждая функция оценивается по уровню автоматизации от 0 (ручной режим) до 2 (полная автономия). Например, уровень 1A (Approve) означает, что ИИ самостоятельно сформировал план действий и ожидает только подтверждения от аналитика.
🟠Builder Mode (оценка рисков внедрения) – скоринг применимости функций под специфику конкретной команды, учитывая степень надежности реализации алгоритма (Trust), ресурсоемкость развертывания и поддержки силами внутренней команды (Complexity) и
риски для бизнес-процессов в случае ошибки ИИ (Impact).
🟠Метрики эффективности (PICERL) – внедрение платформы оценивается через изменение (дельту) метрик на разных стадиях инцидента (Preparation -> Identification -> Containment -> Eradication -> Recovery -> Learning) относительно исходного состояния.
Этапы выбора AI SOC платформы по методологии ASEF:
🟠Frame – самооценка слабых мест текущего SOC, фиксация базовых метрик и определение критических требований. Без фиксации базовой линии дальнейшая объективная оценка невозможна.
🟠Shortlist – фильтрация кандидатов по ключевым технологическим критериям, проверка наличия механизмов логирования и аудита, исключение заведомо незрелых решений.
🟠Evaluate – тестирование систем на собственных данных. Проводится сначала в Shadow mode (ИИ наблюдает и готовит черновики без активных действий в инфраструктуре), затем — с постепенным расширением зон контроля (тестовые хосты -> рабочие станции -> продуктивная среда).
🟠Maturity – составление итогового профиля возможностей продукта на карте Shift Map.
🟠ROI – расчет изменения метрик эффективности PICERL и оценка совокупной стоимости владения для покупателя.
🟠Decide – принятие финального решения на основе сопоставления результатов пилота с пороговыми значениями, установленными на первом этапе.
Посты про другие фреймворки:
➡️SIEM and AI SOC Ratings Framework
➡️AI Response Maturity Model
#framework #maturity #soc #siem #ai
| 2 | Дошли руки до русификации интерактивного курса по кибербезопасности с открытым исходным кодом, про который писал в прошлом году: помимо банального перевода, адаптировали с коллегами под отечественные реалии (152-ФЗ) модуль по защите персональных данных, а в модуле про безопасное программирование обновили описание OWASP TOP 10 под версию 2025 года.
Русифицированную версию положил в репозиторий на гитхабе. В LMS-платформу тоже загружал – всё работает, но если заметите ошибки, то пишите😉
#awareness #training #gamification #lms | 8 540 |
| 3 | Наконец-то полезный ресурс – APT & Threat Name Generator!
Теперь исследователям не придется ломать голову над названием для новой группировки или очередного вредоноса🤤
p.s. Сгенерированное имя можно даже застолбить у автора ресурса, чтобы он исключил его генератора👍
#humor | 1 091 |
| 4 | ⚡️Агентство CISA выпустило директиву для гос.учреждений США (а для всех остальных – хороший гайд🙂) о приоритизации устранения уязвимостей на основе риск-ориентированного подхода.
Критерии оценки рисков:
1️⃣Доступность системы из сети Интернет.
2️⃣Наличие уязвимости в каталоге KEV CISA.
3️⃣Возможность автоматизации процесса эксплуатации уязвимости (шаги 1-4 цепочки атаки, kill chain).
4️⃣Уровень воздействия на систему (полный или частичный контроль над системой в случае успешной атаки).
Напомню, что критерии 3 и 4 взяты из методологии SSVC*, а значения для этих параметров можно взять из репозитория CISA Vulnrichment.
Комбинирование вышеуказанных критериев риска порождает шестнадцать сценариев – а точнее SLA по устранению уязвимостей (от трех дней и до планового обновления).
Из интересного стоит отметить, что для самых высокорисковых сценариев, помимо устранения уязвимостей за три дня, необходимо провести расследование, чтобы исключить компрометацию инфраструктуры до момента применения патча.
*p.s. Кстати, в рамках вебинаров про подходы и инструменты приоритизации устранения уязвимостей я отмечаю, что методология SSVC напрашивается на преобразование в более прикладной подход и привожу несколько таких примеров. Теперь будет еще один 🙃
#vm #prioritization #cisa #vulnerability #ssvc #risk | 1 552 |
| 5 | 🔤🔤🔤🔤 🔤5️⃣
Через неделю выйдет очередная версия EPSS (пятая), но уже сейчас есть информация о некоторых изменениях, сравнение с действующей четвертой версией, да и фиды ежедневные уже как пару недель можно скачать.
Разработчики EPSS ожидаемо заявляют, что:
"Модель EPSS V5 представляет собой значительное обновление системы прогнозирования эксплуатации уязвимостей"
Из более "осязаемых" изменений:
🔗Улучшили поиск эксплойтов – стали лучше искать код на гитхабе, в т.ч. с точки зрения "качества", учитывая метрики популярности репозиториев.
🔗Добавили несколько новых источников данных – например, Vulncheck KEV.
🔗Модель V5 стала более стабильной, чем V4 – оценки в V5 реже подвергаются резким колебаниям при ежедневных обновлениях данных (примерно в 7-8 раз).
#epss #vm #cvss #kev #github #prioritization | 1 153 |
| 6 | AIRQ Framework – очень классное исследование и подход оценки безопасности использования ИИ-агентов в корпоративной среде: в рамках работы изучили сотню агентов, которые предварительно разбили на десять классов (по специфике работы), на предмет выявления рисков, связанных с предоставлением доступа к данным и выполнению критичных операций.
В итоге все агенты разнесли на четыре профиля риска, основываясь на определенной поверхности атаки, эффективности защитных мер и размере возможного ущерба (в случае компрометации агента):
🟠Exposed Giants – широкие возможности, но слабая защита.
🟠Fortified Leaders – мощные возможности с пропорциональными мерами защиты.
🟠Humble Providers – ограниченные права доступа и слабая защита.
🟠Tight Operators – узкая специализация и сильная защита.
На сайте сделали удобную визуализацию результатов сравнения, а для каждого (из сотни!) агентов есть подробное описание профиля риска, советы по харденингу и ссылки на документацию/связанные исследования/уязвимости.
Помимо точечных выводов по каждому агенту, есть аналитика по каждому классу агентов и рекомендации по выбору решений и организационным мерам защиты.
#ai #framework #airq #risk #controls #research #vulnerability #agent #hardening | 1 428 |
| 7 | Небольшой портал со статистикой и аналитикой по уязвимостям, обнаруженным с помощью автономных ИИ-агентов.
Ключевые выводы:
➡️В 2026 году наблюдается резкое сокращение (–68%) количества обнаруженных агентами классических веб-уязвимостей, таких как XSS, SQLi и CSRF, по сравнению с 2025 годом.
➡️Уязвимости, найденные ИИ, чаще (по сравнению с остальными) получают высокие или критические оценки по CVSS, однако, вероятность эксплуатации (по EPSS) почти всегда околонулевая. Например, EPSS > 80% зафиксирован только у трех уязвимостей.
➡️Чаще всего ИИ-агенты успешно находят уязвимости XSS, Code Injection и Path Traversal. Совсем плохи дела с Resource Management Errors, PHP File Inclusion, Embedded Malware и Protection Failure.
➡️Разные компании (разработчики ИИ-агентов) доминируют в различных метриках. Например, Anthropic лидирует по количеству найденных критических уязвимостей (40), в то время как Hacktron AI находит наиболее опасные с точки зрения эксплуатации уязвимости (самый высокий средний показатель EPSS — 12,77%). Организация AISLE Research Team лидирует по общему объему и разнообразию найденных типов уязвимостей.
#ai #vulnerability #cve #epss #cwe | 1 554 |
| 8 | С ребятами из Inseca и моим хорошим другом и бывшим коллегой Антоном Ивершенем запускаем курс для специалистов по security awareness — для тех, кто уже занимается этим процессом или хочет стать экспертом.
Сначала сомневались, сможем ли предложить что‑то действительно новое и полезное для развития программ повышения ИБ‑осведомлённости. Но вспомнили все шишки, которые набили, пытаясь приучить сотрудников к правильным ИБ‑привычкам и убедить руководство выделять бюджет на киберучения и мерч — если бы нам десять лет назад дали такие практические советы, нервишки были бы целее😁
В курсе мы собрали именно такие практические рекомендации: как развивать программы security awareness, не буксуя на начальных этапах зрелости. Честно рассказываем о плюсах и минусах, возможностях и преградах разных инициатив, чтобы вы могли выбрать рабочие подходы и быстрее добиться реальных результатов и почувствовать, что всё делается не зря.
Будут лекции, практические задания и вебинары — поделимся всем накопленным опытом по формированию и внедрению культуры ИБ в компаниях разных сфер и размеров, а партнер курса, компания Start X, поделится своим видением проблем развития культуры ИБ в российских компаниях и расскажет про необходимый функционал современных платформ для обучения сотрудников и проведения киберучений.
#awareness #inseca #training #course #startx | 1 101 |
| 9 | Пора препарировать свежий отчет Verizon 2026 Data Breach Investigations Report 🩺
Главные темы и выводы:
📌 Впервые за долгое время эксплуатация уязвимостей стала самым распространенным способом получения первоначального доступа. Использование украденных учетных данных, которое раньше лидировало, опустилось на второе место, что отчасти связано с выделением претекстинга в отдельную категорию.
📌 С шифровальщиками связана почти половина всех подтвержденных взломов компаний, но несмотря на рост числа атк, более двух третей жертв отказались платить выкупы, а медианная сумма выплат снизилась.
📌 Злоумышленники активно используют GenAI для выбора целей, поиска уязвимостей и разработки вредоносного ПО. Однако пока ИИ чаще автоматизирует уже известные методы, а не создает принципиально новые угрозы.
Сотрудники активно загружают конфиденциальные данные в неавторизованные ИИ-сервисы. Чаще всего это исходный код, изображения и структурированные данные.
📌 Смишинг и вишинг показывают на 40% более высокую эффективность (click rate), чем традиционный фишинг по электронной почте.
При этом претекстинг становится все более опасным вектором социальной инженерии, так как включает в себя синхронное взаимодействие (живой диалог). Всё это показывает необходимость совершенствования процесса повышения осведомленности ИБ.
📌 Доля инцидентов, связанных с атаками на цепочки поставок, выросла более чем в полтора раза по сравнению с прошлым годом.
#research #dbir #verizon #breach #report | 1 242 |
| 10 | Awesome Large Language Models for Vulnerability Detection – репозиторий с коллекцией научных публикаций, посвященных применению больших языковых моделей (LLM) для обнаружения уязвимостей.
Помимо ссылок на публикации, есть ссылки на сами LLM-ки🔥
p.s. Обновляется ежедневно.
#llm #vm #ai #research #vulnerability | 1 667 |
| 11 | Крупные страховые компании с начала 2026 года начали активно внедрять сублимиты и исключения в полисы по инцидентам, связанным с ИИ❌
В частности такие гиганты, как QBE и Beazley, ввели ограничение выплат в размере 10% от суммы покрытия полиса при LLMjacking (кража вычислительных мощностей ИИ-инструментов), а также сузили область действия полисов для иных ИИ‑инцидентов, "заручившись поддержкой" Insurance Services Office, которую называют «невидимой рукой» рынка, — организация ISO фактически санкционировала внесение изменений в стандартные страховые продукты, разрешив страховым компаниям запрашивать у клиентов приобретение специальных расширений полисов для покрытия ИИ‑инцидентов.
Оно и понятно: страховщики боятся разориться, так как для страховых случаев, связанных с ИИ, пока нет необходимого объёма исторических данных об инцидентах, выплатах и влиянии на бизнес, чтобы сформировалась рыночная и адекватная тарифная сетка и условия страхования.
К тому же существует проблема в распределении ответственности за инциденты: например, кто виноват в галлюцинациях ИИ или утечке данных через промпты – разработчик ИИ-инструмента, интегратор, который внедрял этот продукт или конечный пользователь?
Параллельно с ужесточением политик страховые компании начали выпускать гайды, в которых рассказывают об актуальных угрозах, направленных на ИИ‑инструменты, и о мерах митигации, которые можно нужно применять, чтобы не отказали в страховой выплате в случае инцидента.
Например, вышеупомянутая компания QBE выпустила руководство по защите от атак типа LLMjacking, где рекомендовала следующие меры защиты:
➡️Внедрение строгой политики ротации API-ключей каждые 30-90 дней.
➡️Использование уникальных API-ключей для различных сред (контура разработки, тестирования и продакшна).
➡️Удаленный административный доступ только с разрешенных ip-адресов.
➡️Настройка оповещений об использовании ресурсов и лимитов использования.
➡️Настройка оповещений о всплесках активности, которые могут указывать на вредоносное использование ресурсов.
➡️Отслеживание увеличения объема запросов или необычных шаблонов запросов.
➡️Логирование всех обращений к API с фиксаций того, кто совершил запрос.
➡️Аудит приложений на наличие жестко закодированных учетных данных в коде.
➡️Внедрение и регулярная проверка механизмов защиты от промпт-инъекций.
➡️Регулярные аудиты безопасности интеграций ИИ-систем.
➡️Разработка четкого плана реагирования при выявлении подозрительной активности и/или взлома.
➡️Внедрение технической возможности оперативного отзыва прав доступа для скомпрометированных учетных записей.
➡️Учет всех зависимостей, используемых ИИ-системами.
#llmjacking #insurance #ai #mitigation #guide | 1 224 |
| 12 | На днях в рунете зафорсилась новость о том, что после апрельского взлома компании Take-Two и публикации злоумышленниками слитой информации рынок отреагировал очень позитивно и в моменте поднял капитализацию Take-Two на 1 млрд $ при росте акций на 2,63% за день🤑
Восприняли позитивно, так как в утекших документах была финансовая отчётность, декларирующая, что портфель игровых изданий, в т. ч. 12‑летней давности, до сих пор приносит большие деньги ежедневно.
Здесь впору делать диаметрально противоположные выводы: то ли искать зависимость рыночной капитализации от успешных кибератак бестолку, то ли этот случай — исключение и там всё не так очевидно.
На самом деле, если ознакомиться с текущей ситуацией вокруг компании Take-Two и ее будущего, то там действительно всё не так очевидно:
➡️Рост произошел довольно вовремя – до середины апреля акции компании падали на 25% от своего 52-недельного максимума, а ещё ведь их потенциально может поглотить Electronic Arts по цене в 25,74$ за акцию, что в 9 раз ниже текущей стоимости.
➡️Компании "повезло", что в утечке была только информация, составляющая коммерческую тайну, и при этом довольно приятная для инвесторов.
➡️Еще больше вопросов возникает с учетом того факта, что руководство компании за последние 90 дней совершило 26 сделок по продаже акций, в том числе и после публикации информации об утечке, а обратного выкупа акций не было🤨
А что если утечка не была случайностью? Может руководство хотело подстелить соломку? С одной стороны – не так дешево слить акции, а с другой стороны – подстраховаться и показать финансовую устойчивость перед потенциальным поглощением компанией EA, тем более что в мае ожидается финансовый отчет с не очень позитивными результатами😄
Пора завязывать с новостями про акции😅
#costs #breach #business #stock #market | 1 117 |
| 13 |  Ещё одна (свежая) статья о том, как инциденты кибербезопасности влияют на рыночную капитализацию компаний📈
Помимо полезных, но очевидных мыслей и выводов, можно выделить описанный жизненный цикл акций компаний после киберинцидента. На основе анализа различных исследований и наблюдений за стоимостью акций выделены четыре основные фазы этого цикла:
1️⃣Окно объявления – в первые три дня с момента раскрытия информации об инциденте происходит мгновенное падение стоимости акций в среднем от 0,3% до более чем 5%.
2️⃣Фаза "переваривания" (4-20 дней) – акции, как правило, достигают минимума, среднее снижение составляет около 7%, при этом показатели оказываются хуже показателей биржевых индексов.
3️⃣Проверка реальностью (21-120 дней) – в случае инцидентов с высоким уровнем влияния акции компании часто достигают дна на 60 день, где среднее падение достигает 4,6% и динамика стоимости акций все также отстает от показателей биржевых индексов.
4️⃣"Длинная тень" ( от 1 года) – для многих компаний, пострадавших от кибератак, может сохраняться негативная тенденция или показатели роста акций могут отставать на несколько процентных пунктов от рыночных.
Также в статье приведён обзор ключевых выводов о негативном влиянии киберинцидентов на стоимость акций из различных крупных исследований — правда, без ссылок на первоисточники🤷♀️
Дублировать текст не буду: достаточно взглянуть на скрин — там всё понятно и без перевода.
p.s. Ниже приведу ссылки на мои посты с обзором аналогичных исследований:
🔗Исследование Comparitech "How data breaches affect stock market share prices"
🔗Исследование "2024 True Cost of a Security Breach" от Extrahop
🔗Обзор влияния кибератак на курс акций компаний от 911Cyber
🔗Исследование о долгосрочном влиянии киберинцидентов на рыночную капитализацию компаний
#costs #breach #business #stock #market | 1 015 |
| 14 | Интересная статья о взаимосвязи подчиненности CISO и финансовой устойчивости компаний после кибератак.
В рамках исследования было проанализировано 32 случайно выбранных инцидента в период с 2013 по 2024 гг., о которых было сообщено в Комиссию по ценным бумагам и биржам США (SEC), а также изменение цен на акции компаний в течение 90 дней с момента раскрытия информации об инциденте.
Результаты сравнения показывают довольно явную зависимость между позицией подчинённости CISO и реакцией фондового рынка; это видно на приведённой иллюстрации.
Из интересного:
➡️В тех компаниях, где CISO подчинялся CEO, акции выросли в цене через 3 месяца после раскрытия информации об успешной кибератаке — возможно, это говорит о том, что рынок положительно оценил реакцию руководства компании на инцидент и верит в её устойчивость и дальнейший рост.
➡️В то же время там, где CISO подчинялся CIO/CTO или другому руководителю в структуре ИТ, дела обстояли хуже — падение акций достигло 11,1% через 90 дней после признания факта инцидента.
➡️Удивительно, что если позиция CISO вообще отсутствовала, падение акций было менее значительным, чем в компаниях, где CISO подчинялся CIO/CTO — видимо, отсутствие одного звена в структуре подчинённости способствовало более оперативному принятию решений на уровне CEO.
Примечательно, что во всех кейсах, где не было должности CISO, директор по ИБ появился в течение года после инцидента😄
В качестве наглядного примера приводится сравнение кейсов с инцидентами в сетях казино Caesars и MGM в 2023 году: обе компании были атакованы одной и той же группой злоумышленников с использованием идентичных методов социальной инженерии в течение одной недели, но в Caesars CISO подчинялся CEO, а в MGM — другому руководителю.
Возможно, такая структура подчинённости сыграла ключевую роль: Caesars согласилась на выкуп в 15 млн $ и через 90 дней после раскрытия информации об инциденте вышла в плюс по стоимости акций, а MGM отказалась и понесла убытки свыше 100 млн $.
Да, в исследовании много ограничений: выборка маленькая, и не рассматриваются другие критерии, влияющие на стоимость акций; но всё же гипотеза интересная, а структура подчинённости является надёжным, пусть и косвенным, показателем реального отношения компании к кибербезопасности. Правда, последние локальные исследования показывают интересную тенденцию (?), но об этом в другом посте расскажу.
#research #statistics #sec #impact #stock #costs #ciso #ceo | 1 388 |
| 15 | Cobalt-State-of-Pentesting-Report-2026.pdf | 0 |
| 16 | На прошлой неделе было несколько интересных материалов и новостей на тему пентестов🛡
🔗Компания Cobalt поделилась (и я ниже поделился) результатами анализа тысяч пентестов, где показала, что:
– Пришло время непрерывного пентеста в виде Penetration Testing as a Service, а разовые пентесты бесполезны.
– В LLM-приложениях находят в 2,7 раза больше уязвимостей, чем в классическом ПО.
– Подсчет метрики устранения половины найденных уязвимостей лучше отражает состояние процесса VM, чем классическая MTTR.
🔗Вышла модель GPT-5.5, а вместе с этим разгорелись споры кто круче в пентестах: Claude Opus 4.7 или GPT-5.5.
Если интересно, то можно почитать сравнительный анализ и практические советы по использованию обеих моделей в пентестах.
🔗А ребята из Awillix запустили уже традиционную ежегодную премию Pentest Award 2026, и я, тоже как обычно, буду следить за результатами: номинаций, как всегда, несколько, в том числе есть и по направлению ИИ.
#ai #pentest #mttr #gpt #claude #awillix #award | 0 |
| 17 | На фоне большого количества статей и рекомендаций о необходимости мобилизации усилий по приоритизации и устранению уязвимостей в связи с появлением новых ИИ‑моделей, позволяющих находить десятки критических уязвимостей за считанные минуты, выделяется гайд Роба Фуллера "The Day-Zero
Normal" по перераспределению приоритетов и инвестиций в ИБ‑процессы и инструменты в эру ИИ.
Да, в руководстве подсвечиваются некоторые уже давно очевидные малоэффективные подходы и их решения, например, необходимость замены классических инструктажей точечными "обучениями в моменте", классического антивируса – поведенческим EDR, а ежегодного пентеста – непрерывным автоматизированным редтимингом.
В то же время, есть рекомендации (или призывы) по решению современных проблем:
➡️Необходимость глубокой интеграции решений класса CMDB с решениями CAASM, не забывая, что ИИ-сущности (агенты, mcp-серверы и т.п.) тоже надо учитывать, а также фиксировать какие identity-сущности (учетки, токены и т.п.) связаны с конкретным активом.
➡️Призывы к BugBounty-площадкам интегрировать ИИ-сканеры со специализированными моделями и предоставлять это как базовый функционал, а также ужесточить требования к артефактам, подтверждающим возможность эксплуатации уязвимостей, найденных "исследователями", с целью исключения нейрослопа.
А ещё предложения по внедрению новых подходов:
➡️Все-таки создать VulnOps в составе инженера и аппсека, снарядить их ИИ-инструментами, которые заменят SAST/DAST, а еще пусть они займутся реверс-инжинирингом, чтобы можно было захарденить или создать патчи для легаси-систем.
➡️Внедрить матрицу постоянных полномочий, закрепляющую возможность автоматизированного реагирования на инциденты с помощью ИИ, с закреплением ответственности за такие действия.
Отдельно автор подсвечивает необходимость переподготовки кадров:
➡️SOC-аналитики 1 линии должны стать операторами ИИ-агентов.
➡️AppSec-инженеры должны уйти от ручного триажа в сторону настройки, тюннига и управления специализированными ИИ-моделями.
➡️GRC-специалисты должны научиться работать с LLM-моделями, чтобы уметь обрабатывать телеметрию от различных ИБ-инструментов для оценки эффективности процессов и соответствия требованиям.
В целом, с документом обязательно рекомендую ознакомиться полностью, так как все рекомендации расписаны очень подробно в разрезе доменов фреймворка NIST CSF 2.0, в том числе с приведением плана действий для CISO, метрик, которые должны выйти на первый план для оценки эффективности новой программы безопасности и советами по бюджету.
#ciso #ai #vm #vulnops #soc #appsec #bugbounty #metrics | 0 |
| 18 | ⚖️Эта неделя прошла под флагом приоритизации
➡️Anthropic сказал, что "благодаря" ИИ уязвимостей находиться (и создаваться тоже 😅) будет кратно больше, поэтому посоветовал обзавестись ресурсами, автоматизацией и заняться приоритизацией.
➡️NIST решил, что проблему с бэклогом по обогащению записей в базе NVD надо решать и... просто 90% долга перенес "в корзину"😂
Да, с 15 апреля NIST ввел новый порядок обогащения записей об уязвимостях в NVD. Обогащаться будут:
🟢Уязвимости из каталога CISA KEV
🟢Уязвимости в ПО, используемом в федеральных органах власти США
🟢Уязвимости в критически важном ПО в соответствии с указом EO 14028
Всё остальное будет недостойно внимания NIST, хотя есть опция попросить лично за конкретную уязвимость😐
➡️Seemplicity выпустила неплохое исследование на тему управления экспозициями (угроз и уязвимостей), где не обошли стороной вопрос приоритизации устранения угроз. В топе следующие критерии (в порядке убывания):
🟢Бизнес-критичность активов
🟢Методики оценки критичности (например, по CVSS)
🟢Данные о киберугрозах (Threat Intelligence)
🟢Вероятность эксплуатации (например, по EPSS)
🟢Комплаинс-требования
🟢Запросы руководства или стейкхолдеров
🟢Инженерные ресурсы (на устранение)
А еще подсветили, что если у вас в организации не выстроены базовые процессы по управлению активами (например, не определены владельцы и админы активов) и есть проблема с софт-скиллами, то автоматизация вам не поможет🤷
➡️А в субботу я провёл вебинар на тему подходов и инструментов приоритизации устранения уязвимостей в рамках очередного потока курса "Vulnerability Management" учебного центра Inseca, где поделился личным опытом по этой теме.
#nist #vm #cve #prioritization #kev #vulnerability #ai | 0 |
| 19 |  И так, Anthropic предлагает следующую стратегию приоритизации устранения уязвимостей:
1️⃣Закрыть все уязвимости из каталога CISA KEV; уязвимости с сетевым вектором считаются первоочередными.
2️⃣Для остальных уязвимостей использовать EPSS и устранять те, у которых значение выше установленного порога.
3️⃣Патчить публично доступные из сети Интернет системы в течение 24 часов после появления эксплойта; все остальные уязвимости — в течение нескольких дней.
Как видно, рекомендации по приоритизации выглядят "избитыми", а где-то и размытыми. Я уже отмечал выше их очевидность и шаблонность: многие авторитетные эксперты указывают, что значительная часть предложений из статьи Anthropic уже давно воспринимается как базовая практика.
В общем-то, несмотря на очевидность, к первой и последней рекомендациям особых вопросов нет: больше всего вопросов вызывает использование фактически единственного критерия приоритизации — EPSS. Здесь, однако, стоит упомянуть, что в статье Anthropic подчеркивается важность автоматизации процесса установки обновлений, а приоритизация – это мера, которая позволит не утонуть в океане уязвимостей в моменте времени.
В то же время примечательна почти мгновенная реакция Empirical Security на рекомендацию использовать EPSS в статье Anthropic. Оно и понятно: Empirical Security, действуя при поддержке FIRST, фактически стояли у истоков методологии, поэтому они оперативно поддержали (1, 2) рекомендацию, но с важной оговоркой — EPSS даёт «глобальную» оценку вероятности эксплуатации уязвимости в ближайшие 30 дней и не учитывает специфику конкретной организации (контекст инфраструктуры и применяемые меры защиты).
А далее они решили воспользоваться минутой славы и предложили прокачать приоритизацию с помощью их продуктов:
➡️Empirical Global Model – обогащает прогнозы EPSS телеметрией об эксплуатации уязвимостей в сети Интернет в реальном времени. Условно "CISA KEV на стероидах".
➡️Empirical Local Model – по сути Global Model, обогащенная телеметрией конкретной организации (данными об активах, инцидентах, мерах защиты и т.п.)
Выводы:
➡️EPSS как единственный критерий приоритизации бесполезен даже по мнению создателей этой методологии.
➡️Контекст инфраструктуры крайне важен в приоритизации.
➡️Приоритизация – это не замена процесса планового обновления и патч-менеджмента.
#prioritization #vm #epss #context #kev | 0 |
| 20 | Компания Anthropic в своем блоге опубликовала замечательную статью с советами по адаптации программ информационной безопасности организаций к эпохе искусственного интеллекта, который значительно ускорил и расширил возможности поиска и эксплуатации уязвимостей.
Не могу сказать, что перечень рекомендуемых мер защиты чем‑то удивил или стал откровением: получился довольно стандартный набор по современным меркам, а ценность я увидел в практических советах по автоматизации мер защиты и в проактивном подходе к тестированию системы защиты на прочность с помощью ИИ‑инструментов.
На сгенерированной иллюстрации можно увидеть краткую выжимку по мерам и использованию ИИ, но рекомендую ознакомиться с оригиналом полностью, а вот про советы по приоритизации устранения уязвимостей сделаю отдельный пост, так как там есть что обсудить с учетом ответа одной организации на пост Anthropic😏
#anthropic #ai #controls #vulnerability #vm #exposure | 0 |
