Ближе к концу прошедшего года Международный союз электросвязи (МСЭ) выпустил отчет, посвященный созданию глобальной культуры кибербезопасности и защите информационных и коммуникационных сетей.

Документ интересен прежде всего обзором национальных инициатив стран-участниц МСЭ по кибербезопасности, в частности: лучших практик повышения осведомленности, стратегий устранения дефицита профильных специалистов, мер по защите детей в цифровой среде, борьбы с кибермошенничеством, безопасности IoT-устройств и 5G-сетей, а также роли национальных CIRT в обеспечении устойчивости критической инфраструктуры.
Из отечественных инициатив и мероприятий отмечены следующие:
🔗 Программа «Кибергигиена» — трехлетняя инициатива под эгидой Минцифры, направленная на разные возрастные группы в рамках борьбы с кибербуллингом, кибермошенничеством, защите паролей и мобильных устройств.
🔗Кампания по цифровой грамотности — проект в рамках программы «Цифровая экономика», использующий анимационные видео для обучения школьников и учителей защите данных и безопасности в цифровой среде.
🔗Создание Национального координационного центра по компьютерным инцидентам (НКЦКИ) для повышения уровня безопасности критической информационной инфраструктуры.
🔗Внедрение платформы «Антифрод» для верификации вызовов, запрет на аренду виртуальных мобильных номеров для борьбы со смишингом и уголовное преследование кибермошенников.
🔗Указ Президента РФ от 01.05.2022 № 250, устанавливающий строгие требования к квалификации и опыту руководителей подразделений информационной безопасности.

Если посмотреть опыт других стран, то можно заметить, что все движутся примерно в одном направлении: программы повышения осведомленности, подготовки кадров, сертификация по требованиям безопасности, борьба с кибермошенничеством, создание специализированных CERT/CIRT.

Для себя отметил несколько интересных инициатив/мероприятий:
🔗Бразильская программа «Hackers do Bem» («Хакеры во благо») направленная на подготовку 30 000 специалистов для восполнения дефицита на рынке труда. Программа включает пятиуровневое обучение, от базовых концепций до специализированных профилей («Red Team», «Blue Team», «DevSecOps»), и завершается шестимесячной стажировкой.
🔗Для помощи организациям в планировании бюджета Национальный орган по кибербезопасности (NCA) Саудовской Аравии разработал инструмент оценки затрат на внедрение базовых мер кибербезопасности.
🔗Регулятор связи Великобритании Ofcom в добровольном порядке реализует с операторами схему TBEST, которая имитирует кибератаку для выявления уязвимостей в сетях и улучшения их защиты.
🔗Национальный CIRT Литвы не только реагирует на инциденты, но и активно управляет уязвимостями, сканируя литовские интернет-ресурсы и информируя операторов критической инфраструктуры о потенциальных угрозах.

#awareness #smishing #смишинг #мошенничество #кадры #cirt #cert

О, моя подборочка ресурсов на тему VM засветилась😊
Кстати, на выходных добавил пару новых ресурсов👍

#cve #vm #bookmarks #prioritization #trends #cvss #vulnerability

Google в лице Mandiant неожиданно пошарила всему миру радужные таблицы с NetNTLMv1-хэшами🤝

Если верить авторам, то эти таблицы позволят подобрать пароль менее чем за 12 часов на обычном ширпотребном железе стоимостью не более 600$⚡️
Конечно же, датасет выложен для помощи исследователям и специалистам по ИБ, что может помочь обосновать отказ от использования "древнего" протокола в корпоративной сети, но думаю и скрипт-кидди заинтересуются. Для матерых злоумышленников вряд ли это будет полезно, т.к. у них уже давно всё есть😄

Подробнее про таблицы можно почитать в блоге Google Cloud, а сам датасет можно найти на портале Google Research.

#mandiant #hash #ntlm #rainbowtables #research #bruteforce

Так, управлять кластерами кубера и убивать вирусню алмазным мечом в Minecraft мы уже умеем👷
Пришло время геймифицировать управление ИИ-агентами: энтузиасты придумали интерфейс в стиле пошаговой стратегии Warcraft для управления жизненным циклом ИИ-агентов👾
Автор проекта заявляет, что интерфейс позволит полноценно управлять задачами агентов, количество которых может достигать двух сотен!
Правда пока потестить новый Warcraft Agentcraft дано не всем, но можно записаться в очередь на получение инвайта для раннего доступа🙂

Нужно больше золота памяти — Зиккурат ИИ сам себя не построит😄

#ai #gamification #humor

Vulncheck выпустила небольшой отчет об уязвимостях, которые были добавлены в 2025 году в Vulncheck KEV как эксплуатируемые злоумышленниками💥

Главные выводы:
🔗В течение 2025 года было выявлено 884 уязвимости с признаками эксплуатации.
🔗Почти для 29% этих уязвимостей признаки эксплуатации фиксировались в день присвоения идентификатора CVE или ранее.
🔗Чаще всего объектами атак являлись:
➡️Пограничные сетевые устройства (межсетевые экраны, маршрутизаторы, VPN-шлюзы)
➡️Системы управления контентом (CMS) (спасибо Wordpress за это)
➡️ПО с открытым исходным кодом
➡️Серверное ПО и операционные системы.
🔗Если посмотреть на скорость эксплуатации уязвимостей в разрезе технологий, то чаще и быстрее всего эксплуатировали уязвимости в ОС, аппаратном обеспечении, софте для обмена файлами и CMS-системах.

#vm #cve #kev #vulnerability #prioritization

Ребята из Wiz опубликовали простой, но удобный и наглядный фреймворк SITF (SDLC Infrastructure Threat Framework), разработанный для анализа и защиты от атак, нацеленных на инфраструктуру жизненного цикла разработки программного обеспечения.

Фреймворк SITF позволяет визуализировать этапы атаки на компоненты цикла разработки, идентифицировать риски, сопоставлять с ними меры защиты и позволяет анализировать цепочку атаки.

SITF включает в себя:
🟠Flow Builder — интерактивный инструмент для моделирования и визуализации атак.
🟠Explore Techniques Visually — интерактивная MITRE-подобная база знаний о техниках злоумышленников, содержащая в т.ч. описание рисков и мер защиты в разрезе компонентов SDLC.
🟠Руководство по фреймворку c примерами использования и инструкциями, а также с разбором известных атак (CircleCI, Shai-Hulud-2 и Codecov).

Как и писал в начале, инструменты очень простые в использовании и визуально удобные👍
В репозитории есть ссылки на онлайн-версии, но ссылки там битые🤷 Однако, для локального запуска достаточно скачать два html-файла и открыть их в любом веб-браузере.

#sdlc #framework #technique #risks #controls #modeling

За последнее время скопилось несколько интересных новостей и ресурсов на тему VM, поэтому решил поделиться в формате дайджеста❤️

🔣Про EPSS
Информацию по оценкам EPSS теперь можно забирать из GitHub-репозитория: там лежат посуточные файлы, начиная с 2021 года. Таким образом, теперь инфу по EPSS можно дергать из трех источников (ранее можно было по API и в виде файлов с ресурса FIRST)

🔣Про трендовые и обсуждаемые уязвимости
ThreatCluster — классный TI-портал, где есть раздел про уязвимости и тренды со ссылками на новостные источники, сообщения из сети X, связанные угрозы и кампании. Выглядит симпатично и есть коммьюнити-версия, в которой можно настроить оповещения по нужной сфере, вендору ПО и т.д.
Threat Radar — еще один TI-портал, где можно отслеживать трендовые уязвимости и связанные угрозы/кампании, также есть новостные фиды из разных источников и онлайн-карта киберугроз. Выглядит интересно👍
CVE News Trends & Media Sentiment Dashboard — дашборд обсуждаемых в СМИ и не только уязвимостей от известного новостного ресурса HackerStorm. Есть топы, фильтры и ссылки на ресурсы.
Weekly Enterprise Exploitation Trend Report — недельные дайджесты по эксплуатируемым уязвимостям от компании NST Cyber. Очень визуально приятный дашборд с большим набором данных по уязвимостям в популярном ПО. Можно подписаться на дайджесты и скачивать репорты с сайта еженедельно.

🔣 Про приоритизацию
KEV Collider — интерактивный инструмент для приоритизации уязвимостей из каталога CISA KEV (да, стараются еще эксплуатируемое разбить на приоритеты устранения🙂). Взяли данные из CISA KEV и добавили инфу об CVSS, EPSS, наличии эксплоитов, векторах атак. Не ново, но визуально неплохо сделано) Из интересного стоит отметить, что есть интересный фильтр по изменению оценки EPSS для уязвимости. Авторы таким образом предлагают отслеживать трендовые уязвимости. Они даже изначально сделали ресурс EPSS Pulse, где публикуют реестр уязвимостей с наибольшим изменением оценки EPSS за сутки. Кстати, один из авторов ресурса — Тод Бердсли, который ранее руководил направлением KEV в самом агентстве CISA.
CyberOK Vulnerability Scoring System —СайберОК опубликовала методику CybVSS по оценке критичности уязвимостей и определению трендовых уязвимостей (подглядел у Александра Леонова).
A method to assess 'forgivable' vs 'unforgivable' vulnerabilities — исследование от NCSC на тему того, какие уязвимости надо устранять. Подробнее можно почитать в посте Алексея Лукацкого.

p.s. Все ресурсы добавил в свою ➡️подборку ресурсов⬅️ на тему VM.

#vm #vulnerability #digest #prioritization #trends #cvss #epss #exploit #kev #cisa

Спустя несколько лет, ожил портал Open Security Architecture🛡

На сайте OSA (из РФ недоступен) можно найти:
🔜Шаблоны архитектурных схем, предназначенные для реализации типовых технических решений и процессов. Каждый шаблон содержит непосредственно схему, рекомендации по мерам защиты на основе контролей из фреймворка NIST 800-53 Rev 5, ограничения по использованию, типовые угрозы, уязвимости и маппинг мер на другие фреймворки.
🔜Каталог и маппинг мер из фреймворков NIST 800-53 Rev 5, ISO 27001:2022, ISO 27002:2022, COBIT 2019, Cis Controls v8, NIST CSF 2.0, SOC 2 TSC, PCI DSS 4.0.1.
🔜Несколько опросников для оценки уровня зрелости по различным процессам и фреймворкам.
🔜Набор иконок для использования в арх.схемах🌆

#architecture #GRC #patterns #iso #framework #nist #csf #cobit #mapping #controls

Sonatype недавно выпустила ежегодный отчет о состоянии безопасности цепочки поставок программного обеспечения, в котором очень хорошо описала проблемы современного процесса управления уязвимостями.
В рамках исследования авторы описывают ключевые проблемы на трех взаимосвязанных уровнях процесса VM.

❤️ Уровень данных
Основная проблема начинается с неполных и неточных данных об уязвимостях, которые, к тому же, медленно обновляются (в первую очередь здесь говорится про базу NVD и программу регистрации уязвимостей CVE):
➡️Медианное время оценки уязвимости в ПО с открытым исходным кодом в 2025 году составило 41 день, а для 35% от общего количества - более трех месяцев.
➡️Почти 65% уязвимостей в ПО с открытом исходным кодом, обнаруженных в 2025 году, до сих пор не имеют оценки CVSS.
➡️В базе NVD содержится немалое количество записей, в которых указаны неправильные диапазоны уязвимых версий и идентификаторов CPE, а также не указываются EOL (End Of Life)-версии ПО.
➡️По расчетам Sonatype, оценка CVSS каждой седьмой уязвимости рассчитана неверно и отличается на 3+ балла.

❤️Уровень потребления
Даже при наличии исправлений организации продолжают загружать и развертывать уязвимые компоненты, причин тому несколько:
➡️Закрепление зависимостей — единожды скачанная версия фиксируется (например, во внутренних репозиториях) и переиспользуется в новых проектах.
➡️Транзитивные зависимости — уязвимости попадают в проекты через несколько уровней вложенности дерева зависимостей, про которые зачастую никто не в курсе.
➡️Усталость от уведомлений — сканеры безопасности приносят огромные простыни уязвимостей без четкой приоритизации, что влияет, конечно же, на желание админов и разрабов что-то исправлять.
➡️Приоритет отдается скорости разработки — чтобы выполнить задачи бизнеса и уменьшить метрику Time To Market все жертвуют "гигиеной" кода.

❤️Уровень экосистемы
Зависимость от EOL-компонентов или "заброшенных" мейнтейнерами компонентов создает "вечные уязвимости", которые невозможно исправить и единственный путь — это масштабная миграция и переход на новые фреймворки, что, конечно, повлияет на сроки достижения бизнес-целей и доступность сервисов:
➡️Риск EOL характерен для всех экосистем (npm — 18,5%, Maven Central — 13,4%, PyPI — 11,6%, NuGet — 25,7%).
➡️До 15% используемых в организации зависимостей находятся в статусе EOL.
➡️Компания HeroDevs, которая занимается заказной доработкой неподдерживаемого ныне ПО с открытым исходным кодом, оценивает количество EOL-версий пакетов с известными уязвимостями в диапазоне от 81 000 до 400 000 шт.

⌨️Влияние ИИ-инструментов
Отдельно подсвечивается, что использование ИИ-инструментов кратно масштабирует выше описанные проблемы:
➡️ИИ обучается на неполных данных из NVD и транслирует эти "знания" в массы.
➡️Рекомендует исторически популярные версии ПО, которые зачастую содержат известные эксплуатируемые уязвимости, или находятся в статусе EOL.
➡️Генерирует манифесты с устаревшими версиями компонент и увеличивает (без подтвержденной необходимости) кол-во используемых зависимостей.

В качестве яркой лакмусовой бумажки всех описанных проблем в отчете приводится статистика скачиваний уязвимой версии библиотеки Log4j: за 2025 год уязвимая к атакам Log4Shell версия была скачана более 42 млн раз.😅

p.s. О предлагаемых авторами мерах по решению проблем — в следующем посте.

#vm #cve #nvd #ai #supplychain #risk #eol #software #vulnerability #sonatype #report

⚙️Совершенствование процесса управления уязвимостями по версии Sonatype (в продолжение предыдущего поста)

❤️Уровень данных
🟢Обогащение данных — не полагаться только на базу NVD, а использовать данные из различных TI-источников, мейнтейнеров, активно развивающихся или надежных источников информации об уязвимостях (OSV.dev, GitHub Security Advisories).
🟢Добавление контекста — уточнять диапазон уязвимых версий, признаки эксплуатации/эксплуатабельности и статусы EOL (End Of Life).
🟢Улучшение идентификация — сбор информации ("отпечатков") о загружаемых в обход официальных репозиториев зависимостях с целью недопущения их распространения в новые проекты и передача верифицированных данных в ИИ-инструменты.

❤️Уровень потребления
🟢Блокировка по умолчанию — использование файрволов на уровне репозиториев и политик контроля для блокировки известных уязвимых версий.
🟢Стандартизация безопасных входных данных — внедрение золотых образов, шаблонов зависимостей и внутренних каталогов/разрешенных версий (белых списков).
🟢Автоматизация гигиены — использование ботов для Pull Requests (для автоматического обновления зависимостей) и непрерывного обновления с учетом совместимости, управление агентами сборки/ИИ для использования разрешенных источников (в идеале тянуть все через прокси-репозиторий компании).

❤️Уровень экосистемы
🟢EOL как неприемлемый риск — выявление, приоритизация и удаление неподдерживаемых версий.
🟢Определение стратегий обновлений — планирование крупных обновлений, переходов на актуальные фреймворки или вывод из эксплуатации.
🟢Снижение риска долгосрочного использования — проактивное удаление "теневых" зависимостей (определенных благодаря отпечаткам на уровне данных), использование сервисов расширенной поддержки ПО только в виде временной меры.

❤️Уровень ИИ
🟢Ограничение рекомендаций — ИИ-инструменты должны предлагать компоненты только из разрешенных источников.
🟢Управление обучением модели — обучение и настройка моделей ИИ на обогащенных метаданных (с уровня данных).
🟢Верификация результатов — постоянный мониторинг манифестов, сгенерированных ИИ-инструментами, на наличие уязвимых/EOL/"теневых" версий и внедрение механизмов блокировки на уровне зависимостей в рабочий процесс.

#controls #vm #mitigation #ai #eol #ti #nvd #kpi #firewall #guardrails

Ребята из Wiz запустили очередной интересный проект "Offensive AI Benchmark", в рамках которого они измеряют насколько эффективно ИИ-инструменты справляются с задачами из области наступательной кибербезопасности.

В ходе тестов было оценено 25 комбинаций агентов и языковых моделей по 257 подготовленным сценариям, разделенным на несколько категорий: от поиска зеродеев до эксплуатации мисконфигов облачных инфраструктур. Все подробности по методологии расчета и результатам лежат на странице проекта: также ожидается подробный технический отчет по испытаниям.

Что интересного увидел из презентованных результатов бенчмарка:
🟠На успешность выполнения узкоспециализированных задач сильно влияет качество связки модели и ИИ-агента. Как видно из таблицы результатов, связки «родных» моделей с агентами оказались более эффективными.
🟠Обнаружение уязвимостей в API многим участникам далось вполне успешно — у лидеров по 84,2%. Это довольно высокий показатель для таких специфических задач. Возможно, дело в том, что логика API строго структурирована🤷‍♀️
🟠В поиске зеродеев, ожидаемо, всё плохо: лучший результат у лидеров — всего 27,3% успеха.
🟠Можно сказать, что модель GPT-5.2 провалилась — впрочем, как и Grok 4. Весь топ-10 заняли различные комбинации моделей Gemini и Claude Opus.

#ai #offensive #benchmark #api #zeroday #vulnerability #llm

Раффаэль Марти, довольно известная личность в ИБ-сообществе, представил свою модель оценки зрелости SIEM и AI SOC, которая призвана объективно оценить зрелость платформ безопасности, прежде всего, опираясь на архитектурные и операционные возможности, исключая классический подход на основе списка функций, дорожных карт и маркетинговых обещаний.

Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам:
🔘Данные и управление
🟢Федерализация данных
🟢Оптимизация конвейера
🟢Осведомленность о данных
🟢Производительность
🟢Современный ИИ
🔘Детектирование и обучение
🟢Поиск гипотез
🟢Автоматическая настройка
🟢Адаптивное детектирование
🟢Память детектирования
🔘Риски и контекст
🟢Осведомленность об активах
🟢Оценка риска в реальном времени
🟢Контекст риска
🟢Бизнес-контекст
🔘Операционная реальность
🟢Интерфейс запросов
🟢Автоматизация триажа
🟢Обнаружение слепых зон
🟢Готовность к применению мер в режиме реального времени.

По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных.

Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки.

#framework #maturity #soc #siem #ai

А вот еще один фреймворк оценки зрелости AI SIEM/SOC➕

ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
🔗Режим оценщика (Evaluator) — подходит для прямого сравнения продуктов "из коробки" с рынка, условно отвечая на вопрос, какой вендор дает больше возможностей за свои деньги.
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
🔗Режим архитектора (Builder) — более технический уровень, здесь уже оценивается зрелость функционала, учитывая контекст (организации, команды SecOps, присущих рисков).
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).

Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.

#framework #maturity #soc #siem #ai