Если кто не знает, то есть такой сервис arXiv.org, представляющий собой электронный архив с открытым доступом для научных статей и препринтов по различным направлениям📖
На этом портале можно найти много полезных публикаций, но система фильтров и поиска не очень удобна, поэтому ИБ-энтузиасты сделали ресурс CyberSec Research, который позволяет удобно и быстро находить статьи на тему информационной безопасности, размещенные на arXiv, по различным фильтрам👍

#research #arxiv #исследования

Мне тут подсказали, что есть более удобный способ поиска публикаций, размещенных на arXiv: на ресурсе alphaxiv, созданном для возможности обсуждения и комментирования публикаций с arXiv, недавно прикрутили ИИ-ассистента, который позволяет быстро находить публикации по соответствующему запросу, в т.ч. на русском языке👍

#research #arxiv #исследования #ai

Карта бизнес-знаний директора по информационной безопасности и подборка публикаций о том, как бизнес-знания могут помочь CISO создать эффективную систему безопасности💼

#mindmap #business #ciso

Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔

В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.

Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?

Рекомендуемые критерии выбора и оценки инструментов:
🟠Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.

#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm

🆕Выпущена новая версия MITRE ATT&CK (v.17)🆕

Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества📕

Для себя отметил следующие интересные изменения:
➡️Добавлена матриц тактик и техник для платформы ESXi, в которую включили 30 адаптированных уже имеющихся в каталоге техник и 4 новых специфичных техники (T1675, T1059.12, T1505.006, T1673).
➡️Добавлены техники, связанные с методами социальной инженерии – T1667: Email Bombing и T1204: Malicious Copy and Paste. Техники сами по себе давно известные, но авторы посчитали, что только сейчас пришло время их добавить, т.к. они "стали популярны в последнее время" у злоумышленников.
➡️Добавили интересную технику T1668: Exclusive Control, которая описывает действия злоумышленников по недопущению "коллег по цеху" на скомпрометированную ими систему😁 Чтобы не делиться с конкурентами захваченной инфраструктурой злоумышленник может "любезно" пропатчить ваш уязвимый хост, благодаря которому он проник в вашу сеть, или отключить ненужные службы и отобрать привилегированный доступ у скомпрометированный учетной записи😊
➡️T1219.003: Remote Access Tools: Remote Access Hardware – техника использования легитимного оборудования для удаленного доступа, эдакий интерактивный бэкдор для обхода программной защиты. Злоумышленники могут использовать KVM-устройства (например, TinyPilot, PiKVM) для получения удаленного доступа к системе.
➡️Среди кампаний стоит отметить добавление операции «Триангуляция», обнаруженную специалистами Лаборатории Касперского.
➡️В целом, обновлений действительно много – только техник было добавлено более 25 штук. Стоит также отметить, что авторы также оптимизировали описание мер защиты и увеличили число практических примеров их использования👏

#mitre #attack #technique #ttp #apt

За неделю вышло несколько интересных исследований, которые стоит почитать📖

✨2025 Data Breach Investigations Report — очередное (18-е) ежегодное исследование компании Verizon об инцидентах ИБ и тенденциях кибербезопасности. В этот раз констатируют рост эксплуатации уязвимостей, рост количества инцидентов из-за подрядчиков и сохраняющуюся угрозу со стороны программ-вымогателей и социальной инженерии.

✨IBM X-Force 2025 Threat Intelligence Index — ещё одно обширное ежегодное исследование ландшафта киберугроз от IBM. В отчете отмечается увеличение использования скомпрометированных учетных данных и активное применение облачных сервисов злоумышленниками. Особое внимание уделено инфостилерам и использованию ИИ в кибератаках.

✨FBI Internet Crime Report — хоть и не такой глобальный как предыдущие исследования, но не менее интересный документ от Центра приема жалоб на интернет-преступления ФБР о киберпреступлениях и интернет-мошенничестве.

✨The Cyber Resilience Compass: Journeys Towards Resilience — брошюра от Всемирного экономического форума, в которой рассматриваются практические аспекты достижения киберустойчивости организациями. Полезно тем, что в документе приводятся практические примеры и советы от лидеров рынка и индустрии.

✨Курс на киберустойчивость: как изменились стратегии CISO — можно сказать, что уже ежегодное (2-е) исследование от Инфосистемы Джет на тему состояния ИБ в российских организациях.

p.s. Все отчёты доступны без регистрации.

#digest #report #cyberresilience #threat #ciso

И ещё раз про пентесты🙂
Не могу не упомянуть, что коллеги по ИБ-цеху из компании Awillix открыли прием заявок на ежегодную премию Pentest Award🔥
Мероприятие проводится уже не в первый раз, и, хоть я и не пентестер, но слежу за итогами премии, так как участники номинируют реальные кейсы взломов, которые могут содержать полезную информацию о нестандартных векторах и техниках атак👍
В этот раз, на правах инфопартнера, буду чуть пристальнее следить за премией и делиться полезностями 😊

Вижу, что в этом году организаторы добавили классную антиноминацию «Осторожно, грабли!»: истории про факапы всегда интересны и полезны, поэтому однозначно буду следить за номинацией☄️
Из уже традиционных номинаций для себя отмечаю:
⭐️"Ловись рыбка" — за самый оригинальный фишинг или попытку засоциалить сотрудников.
⭐️"Девайс" — обнаружение и анализ уязвимостей в различных устройствах, например ТВ или умных колонках.

Про все номинации и условия участия читайте на сайте премии😉

Application Security, Data Privacy и Threat Intelligence — таков топ-3 направлений, на которые хотят раскошелиться CISO в 2025 году согласно исследованию "Cybersecurity Perspectives 2025" 💰

Но есть и более интересные факты:
➡️Почти половина опрошенных организаций (49%) планируют разрабатывать собственные средства защиты, поскольку доступные на рынке коммерческие продукты не удовлетворяют их требованиям к функционалу🤔
➡️Респонденты заявили, что их ожидания (от коммерческих решений) не оправдываются в таких областях, как идентификация и управление доступом, безопасность API и приложений.
➡️При этом организации намерены разрабатывать "in-house" решения для защиты облачной инфраструктуры, обеспечения конфиденциальности данных, анализа киберугроз и безопасности приложений.

Если наложить это на отечественный рынок, то как минимум в области безопасности приложений, идентификации и управления доступом многие компании делают свои инструменты (с нуля или на базе опенсорса), т.к. "коробочные" рыночные решения реально не закрывают потребности, а их доработка по заказу зачастую оказывается дороже, чем разработка собственного решения🤷‍♂️

#ciso #iam #trends #budget #appsec #market

Неисповедимы пути Господни, а карьерные пути CISO вполне постижимы... Но есть региональные нюансы🙂

В 📱 попалось интересное исследование профессиональных путей CISO по всему миру на основе анализа профилей LinkedIn: в документе определены региональные различия в карьерных путях CISO, этапы карьерного развития, информация об образовании, сертификациях и прочая не менее интересная аналитика. Ниже только про "региональные нюансы" карьерных лестниц CISO. Остальную аналитику можно посмотреть в приложенном файле.

🤑 Североамериканский регион: бизнес-ориентированный подход
Карьерный путь в области ИБ обычно начинается с позиций аналитика (чаще всего в SOC), где формируется основа технических знаний. Затем происходит переход к управлению командами и проектами на должности менеджера, с последующим развитием до директора по безопасности и, в конечном итоге, до Chief Information Security Officer.
CISO в Северной Америке выделяются своим бизнес-ориентированным подходом, прежде всего заключающемся в согласовании стратегий ИБ с бизнес-целями организации. В среднем, они достигают этой позиции после 15+ лет профессиональной деятельности.

📖 Европейский регион: акцент на соответствии нормативным требованиям
Европейские CISO обычно имеют более длинный путь к руководящей должности (17+ лет) и сильную экспертизу в области нормативного регулирования: как правило карьерный путь начинается с ИБ-методолога и комплаенс-менеджера, а путь к CISO лежит через должность директора по управлению рисками.

💻 Азиатско-Тихоокеанский регион: технический путь
В этом регионе CISO становятся несколько быстрее, чем в остальных — в среднем за 13+ лет, и часто специалисты имеют глубокие технические знания в области архитектуры безопасности.
К должности CISO ведет путь через технического директора, а карьеру как правило начинают в качестве ИБ-инженера/разработчика, а затем уже становятся ИБ-архитектором.

#ciso #career #business