AlexRedSec
Новости, исследования и размышления на тему кибербезопасности от Александра Редчица. ➡️ https://twitter.com/ArchieScorp ➡️ https://www.linkedin.com/in/aredchits/
Больше1 887
Подписчики
+124 часа
+17 дней
+830 дней
- Подписчики
- Просмотры постов
- ER - коэффициент вовлеченности
Загрузка данных...
Прирост подписчиков
Загрузка данных...
Фото недоступноПоказать в Telegram
TrendMicro поделились советами (для большинства уже очевидными) как CISO достучаться до руководства компании и донести важность ИБ-рисков:
1️⃣ Разговаривайте на простом языке, не используя профессиональный жаргон или сокращения.
2️⃣ Стратегия кибербезопасности должна быть согласована с бизнес-целями компании.
3️⃣ Сосредоточьте внимание на явных рисках, которые могут помешать достижению бизнес-целей.
4️⃣ Используйте в отчетности соответствующие данные и метрики, понятные бизнесу.
5️⃣ Докладывать надо кратко и лаконично, но часто — чтобы показывать руководству скоротечность изменений ИБ-рисков.
6️⃣ Не пренебрегайте построением благоприятных межличностных отношений с руководством.
p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.
👍 5
CSA (Cloud Security Alliance) завершила цикл документов "The Six Pillars of DevSecOps" выпуском про мониторинг и измерение эффективности внедряемого процесса DevSecOps в организациях🛠
В работе подробно рассмотрены:
➡️Важные метрики, связанные с подпроцессами устранения уязвимостей, моделирования угроз и мер защиты, а также реагирования на инциденты.
➡️Сравнение уровней зрелости команд/организаций на основании OWASP DevSecOps maturity model (DSOMM).
➡️Универсальная схема процесса DevSecOps, включающая в себя основные этапы, виды деятельности и инструменты, позволяющая оценить и наметить точки мониторинга и измерения эффективности.
➡️Перечень возможных метрик, которые можно обсчитывать на каждом этапе процесса DevSecOps, для оценки эффективности и уровня его зрелости.
#devsecops #dsomm #metrics #maturity
👍 5🔥 1
Фото недоступноПоказать в Telegram
CISO одной американской организации получил письмо-уведомление об утечке данных в результате кибератаки на AT&T и разнёс их в пух и прах😅
Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений😕
Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать).
p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход🤔
👍 5🔥 1😁 1🤡 1
Очередная подборка книг по кибербезопасности от издателя Pearson на Humble Bundle🤓
Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть🥲
В бандле следующие книги:
➡️CompTIA Security+ SY0-701 Cert Guide - 2024
➡️Network Security, 3rd Edition - 2022
➡️Zero Trust Architecture - 2023
➡️Cybersecurity Myths and Misconceptions - 2024
➡️In Zero Trust We Trust - 2024
➡️Database and Application Security: A Practitioner's Guide - 2024
➡️Ransomware and Cyber Extortion - 2022
➡️Designing and Developing Secure Azure Solutions
➡️The Modern Security Operations Center - 2021
➡️A Practical Guide to Digital Forensics Investigations, 2nd Edition - 2021
➡️Data Breaches - 2019
➡️Microsoft Defender for Cloud - 2022
➡️Microsoft Sentinel, 2nd Edition - 2022
➡️Effective Cybersecurity - 2021
➡️Information Privacy Engineering and Privacy by Design - 2021
➡️Building a Career in Cybersecurity - 2023
➡️Microsoft Azure Network Security - 2021
➡️Securing 5G and Evolving Architectures - 2021
p.s. Не самый топовый бандл, но в подборке есть хорошие книги.
Половину из них точно можно найти в "свободном" доступе😏
Humble Tech Book Bundle: Cybersecurity by Pearson
Go all-in on cybersecurity with this book bundle, covering fundamentals and credentialing, to cutting-edge concepts & beyond! Your purchase helps charity.
👍 2🤔 1
Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔
Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨💻
Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
➡️Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять).
➡️Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже.
➡️Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию.
Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?
В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости
🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄
👍 9
Фото недоступноПоказать в Telegram
На днях агентство CISA объявило о запуске полезного проекта CISA Vulnrichment, целью которого является обогащение информации об уязвимостях для упрощения (полуавтоматизации) процесса приоритизации устранения в соответствии с методикой SSVC👍
В рамках данного проекта производится обогащение записей CVE информацией для таких критериев (точек принятия решений) методики SSVC как:
➡️Exploitation (состояние эксплуатации)
➡️Automatable (автоматизируемость эксплуатации)
➡️Technical Impact (техническое воздействие)
Если вышеуказанные критерии получают значения "Active Exploitation/Proof of Concept", "Automatable" и "Total Technical Impact" соответственно, то проводится более глубокий анализ уязвимости и дополнительно изучается/уточняется/обогащается информация о дефекте CWE, оценке CVSS и строке CPE🔥
CISA обещает, что в ближайшее время проект будет активно развиваться и получать новый функционал👌
👍 2⚡ 1
Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️).
На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐
👍 3