AlexRedSec

TrendMicro поделились советами (для большинства уже очевидными) как CISO достучаться до руководства компании и донести важность ИБ-рисков: 1️⃣ Разговаривайте на простом языке, не используя профессиональный жаргон или сокращения. 2️⃣ Стратегия кибербезопасности должна быть согласована с бизнес-целями компании. 3️⃣ Сосредоточьте внимание на явных рисках, которые могут помешать достижению бизнес-целей. 4️⃣ Используйте в отчетности соответствующие данные и метрики, понятные бизнесу. 5️⃣ Докладывать надо кратко и лаконично, но часто — чтобы показывать руководству скоротечность изменений ИБ-рисков. 6️⃣ Не пренебрегайте построением благоприятных межличностных отношений с руководством. p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.

CSA (Cloud Security Alliance) завершила цикл документов "The Six Pillars of DevSecOps" выпуском про мониторинг и измерение эффективности внедряемого процесса DevSecOps в организациях🛠 В работе подробно рассмотрены: ➡️Важные метрики, связанные с подпроцессами устранения уязвимостей, моделирования угроз и мер защиты, а также реагирования на инциденты. ➡️Сравнение уровней зрелости команд/организаций на основании OWASP DevSecOps maturity model (DSOMM). ➡️Универсальная схема процесса DevSecOps, включающая в себя основные этапы, виды деятельности и инструменты, позволяющая оценить и наметить точки мониторинга и измерения эффективности. ➡️Перечень возможных метрик, которые можно обсчитывать на каждом этапе процесса DevSecOps, для оценки эффективности и уровня его зрелости. #devsecops #dsomm #metrics #maturity

CISO одной американской организации получил письмо-уведомление об утечке данных в результате кибератаки на AT&T и разнёс их в пух и прах😅 Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений😕 Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать). p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход🤔

Очередная подборка книг по кибербезопасности от издателя Pearson на Humble Bundle🤓 Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть🥲 В бандле следующие книги: ➡️CompTIA Security+ SY0-701 Cert Guide - 2024 ➡️Network Security, 3rd Edition - 2022 ➡️Zero Trust Architecture - 2023 ➡️Cybersecurity Myths and Misconceptions - 2024 ➡️In Zero Trust We Trust - 2024 ➡️Database and Application Security: A Practitioner's Guide - 2024 ➡️Ransomware and Cyber Extortion - 2022 ➡️Designing and Developing Secure Azure Solutions ➡️The Modern Security Operations Center - 2021 ➡️A Practical Guide to Digital Forensics Investigations, 2nd Edition - 2021 ➡️Data Breaches - 2019 ➡️Microsoft Defender for Cloud - 2022 ➡️Microsoft Sentinel, 2nd Edition - 2022 ➡️Effective Cybersecurity - 2021 ➡️Information Privacy Engineering and Privacy by Design - 2021 ➡️Building a Career in Cybersecurity - 2023 ➡️Microsoft Azure Network Security - 2021 ➡️Securing 5G and Evolving Architectures - 2021 p.s. Не самый топовый бандл, но в подборке есть хорошие книги. Половину из них точно можно найти в "свободном" доступе😏

Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔 Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁 Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨‍💻 Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз: ➡️Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять). ➡️Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже. ➡️Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию. Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐 Дерево принятия решения основывается на четырех критериях: 🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО? 🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО? 🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО? 🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)? В итоге всё сводится к трём действиям: 🛠 Удалению неиспользуемого ПО 🛠 Настройке и применению автопатчинга 🛠 "Бездействию", а точнее — обновлению ПО по необходимости 🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄

На днях агентство CISA объявило о запуске полезного проекта CISA Vulnrichment, целью которого является обогащение информации об уязвимостях для упрощения (полуавтоматизации) процесса приоритизации устранения в соответствии с методикой SSVC👍 В рамках данного проекта производится обогащение записей CVE информацией для таких критериев (точек принятия решений) методики SSVC как: ➡️Exploitation (состояние эксплуатации) ➡️Automatable (автоматизируемость эксплуатации) ➡️Technical Impact (техническое воздействие) Если вышеуказанные критерии получают значения "Active Exploitation/Proof of Concept", "Automatable" и "Total Technical Impact" соответственно, то проводится более глубокий анализ уязвимости и дополнительно изучается/уточняется/обогащается информация о дефекте CWE, оценке CVSS и строке CPE🔥 CISA обещает, что в ближайшее время проект будет активно развиваться и получать новый функционал👌

Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️). На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐