Alexander Redchits

Агрегаторы трендовых/обсуждаемых уязвимостей📣

2025-01-08T09:44:33.839Z

Top CVE Trends & Expert Vulnerability Insights — новый агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.

CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.

Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).

CVEShield— уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.

CVE Radar — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.

Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.

Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.

SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.

CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.

Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.

Fedi Sec Feeds — агрегатор обсуждаемых в соц.сетях типа Fediverse уязвимостей (как и CVE Crowd). Помимо описания узвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.

Talkback — довольно крутой агрегатор новостей из сферы ИБ с прикрученным ИИ. На ресурсе есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости. К сожалению, подробного описания механики работы "градусника" нет, но можно предположить, что он выставляется на основе упоминаний уязвимости в новостях за определенный промежуток времени.

CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.

DBugs –– трендовые уязвимости на портале уязвимостей от компании Positive Technologies. В разделе трендов можно также посмотреть статистику по упоминанию уязвимости в соц.сети X (посты, репосты, суммарная аудитория подписчиков, временной график) и текст постов из различных ресурсов.

Cytidel Top Trending — тоже относительно новый агрегатор трендовых уязвимостей за сутки. Есть счетчик упоминаний на различных ресурсах (новостные порталы, ti-отчеты). Ранее упоминал его в канале.

Обновлено 16.07.2025

#cve

#trends

#vulnerability

#prioritization

Интерактивные карты киберугроз в режиме реального времени

2023-07-02T17:16:12.477Z

Ниже приведены известные и, возможно, малоизвестные ресурсы, демонстрирующие происходящие в мире кибератаки в режиме реального времени (если верить авторам таких ресурсов).

А для тех, кто хочет сделать свою карту киберугроз, стоит заглянуть сюда:

Актуально по состоянию на 28.12.2025.

Перечень раньше дублировал в статье на Хабре.

Про антипрогнозы в кибербезопасности на 2023 год

2023-01-03T11:57:11.692Z

Традиционно в декабре (да и в ноябре уже тоже) нас заваливают прогнозами в сфере кибербезопасности на грядущий год. За последние годы все эти прогнозы стали настолько предсказуемыми, что читать их стало просто не интересно, т.к. выглядит всё как очередная "продажа страха" и вера в светлое будущее🙂
Я думаю все специалисты-реалисты уже давно это заметили. И вот набрел на статью, где подсветили все эти проблемы прогнозов и привели антипрогнозы в кибербезопасности на 2023 год. Ничего сверхъестественного, только наболевшее:
🔸Ландшафт угроз НЕ поменяется - технологии, люди и методы могут меняться. но суть атак остается прежней (уже почти 20 лет). Всё сводится к доставке вредоносного ПО, краже учетных данных и фишингу.
🔸Руководители НЕ начнут серьезно относиться к безопасности - ну, наверное, несколько руководителей начнут, но пока ИБ-проблемы не будут конвертированы в количественные возможные издержки, то это будет "местечковой" историей.
🔸Компании НЕ возьмут на себя обязательства по усилению системы безопасности - точнее будут по большей части работать на публику. Достигнув определенного уровня зрелости ИБ, они перестанут развивать ее.
🔸После очередной мегаутечки ничего НЕ изменится - да тут даже и писать ничего не хочется. Сколько в этом году утекло данных? Вы сильно волнуетесь при каждой утечке? Мне кажется уже все привыкли к этому и воспринимают как повседневные события.
🔸Кадровые проблемы в отделах безопасности НЕ исчезнут - образование не поспевает за реалиями жизни, отсутствие автоматизации способствует процветанию "рабского" труда (ну, первая линия SOC, например), а бюджет на ФОТ просто так не появится.

Также в статье автор приводит свои идеи для изменения ситуации:
🔹Необходимо перестать бежать за новыми технологиями или сосредоточиться на них, заложив пятилетний цикл использования.
🔹Нанимать людей, которые не полностью подходят на позиции - это будет стимулировать их развиваться в отличии от тех, кто в этой роли уже полный профи.
🔹Сосредоточиться на автоматизации процессов безопасности.
🔹Переходить на облачные технологии и контейнеризацию.
🔹Увеличивать ФОТ и поощрять творческих личностей.
🔹Привлекая поставщиков услуг безопасности, прописывать полный спектр ответственности.
🔹Развивать способность быстро меняться в условиях изменяющихся реалий.
🔹Создавать системы, способные выдерживать постоянные взаимодействия с человеческой глупостью.
Обучение пользователей - это важно, но это не панацея. Как говорил Эйнштейн "Есть две бесконечные вещи — Вселенная и человеческая глупость. Впрочем, насчёт Вселенной я не уверен."
🔹Документируйте всё, наймите технического писателя под это.

С какими-то идеями я согласен не полностью, но в большей степени это похоже на правду😅
Аналогичные выводы можно найти в книге "Кибербезопасность. Что руководителям нужно знать и делать", про которую я писал ранее в своем канале.

Проведение тестирования сотрудников по реагированию на фишинговые атаки: советы из практики

2021-06-01T19:19:37.027Z

Мои советы по организации тестирования сотрудников по реагированию на фишинговые письма на основе моего накопленного опыта, а точнее моменты, на которые точно стоит обратить внимание (как очевидные, так и нет; как организационные, так и технические).

Вводные данные: первичное проведение такого рода мероприятия, нулевой/околонулевой бюджет, проведение вторичного тестирования.

1. Согласуйте тестирование с руководством

Несмотря на то, что этот шаг упоминается в любой статье про организацию процесса повышения осведомленности, решил его подсветить тоже, так как это действительно важно. И не только потому, что вам нужно получить поддержку руководства, показать, что это важно, нужно и вы действительно отрабатываете свою зарплату, а руководству задекларировать свое "лидерство в ИБ", но и для того, чтобы к вам не было претензий от сотрудников и их начальников после того, как вскроется, что это "вы отвлекали сотрудников от работы и мешали бизнес-процессам"... Да, поверьте, будут и такие неожиданности :)

2. Грамотно сформируйте тестовые рассылки

При первичном тестировании сотрудников, ИМХО, важно оценить "среднюю температуру по палате", поэтому можно разослать одинаковое "левое" тестовое письмо всем сотрудникам, но для чистоты эксперимента (читай - конверсии) необходимо делать это грамотно.
Во-первых, не делайте одну массовую рассылку - сделайте несколько рассылок, разнесенных по времени (к примеру охватом в 15-20% от общего числа сотрудников в неделю).
Во-вторых, делайте список рассылки максимально перемешанным - то есть не включайте в одну рассылку сотрудников одного структурного подразделения и ранга. Поверьте, это сильно влияет на конверсию, так как сарафанное радио никто не отменял :)
В-третьих, не тратьте время на супер-оригинальные темы рассылок - типичной рассылки про необходимость срочной смены пароля для первичного тестирования будет достаточно.

3. Перед проведением тестирования сотрудников доведите им схему реагирования при получении подозрительных писем или схему реагирования на ИТ/ИБ-инциденты

К сотрудникам надо относиться с уважением и заботой - они должны знать, как и к кому необходимо обращаться в случае возможного инцидента, поэтому сделайте рассылку за 1-2 недели до начала тестирования с напоминанием схемы. Это будет честно и в будущем поможет вам определить тех сотрудников, кто читает ваши рассылки

4. Оповестите ваш SOC или администраторов-аутсорсеров о планируемом тестировании

Если вы пользуетесь услугами аутсорсинга в ИБ, то оповестите их службы о своих планах, чтобы они не поднимали "тревогу" или сделали соответствующие настройки (внесли соответствующие исключения в средствах защиты информации и средствах мониторинга).

5. Соблюдайте приватность

После проведения тестирования у вас на руках будет список сотрудников, кто "залетел". Многие начальники/топы захотят получить этот список для того, чтобы сотрудников постигла "кара небесная". ИМХО, в рамках первого тестирования результаты доводить стоит в относительных величинах (процентном или количественном отношении). Да, топ-менеджменту можно передать полный перечень провинившихся, но непосредственным начальникам не стоит - в будущем это может сыграть злую шутку.

6. По итогам тестирования определите особые категории пользователей

В первых пунктах я указывал про необходимость доведения схем реагирования до сотрудников и наличие "сарафанного радио". Опираясь на результаты тестирования, постарайтесь определить "сотрудников-глашатаев", являющихся "сарафанным радио". В будущих тестированиях их можно/нужно изолировать в отдельное тестирование - например, рассылать им тестовые письма последними (таким образом получите более чистую конверсию).
Также стоит определить "сотрудников-активистов", которые читают внимательно все рассылки от ИБ и реагируют правильно - в соответствии с установленными схемами. В будущем им можно будет провести тестирование посложнее или разработать сценарии учебных мероприятий вместе с ними.

По итогам тестирования вам нужно будет красиво все презентовать руководству - с информативными слайдами и показателями. Даже после первичного тестирования (результаты которого будут однозначно печальными) -> обучения -> вторичного тестирования стоит показать не только, что "количество сотрудников, перешедших по ссылкам/открывшим файл" уменьшилось, но и что "количество сотрудников, сообщивших о фишинге, увеличилось". Да, топы любят стрелочки и столбики растущие, нежели ниспадающие.

8. Используйте триалы/бесплатный демо-функционал сервисов по повышению осведомленности сотрудников

Так как в условии у нас сказано, что у нас нулевой бюджет, то нам как-то надо технически организовать тестирование. На рынке РФ, я считаю, достаточное количество игроков в этом направлении (как минимум тройка компаний со словом "phish" в названии, сервис, созвучный по названию с одним млекопитающим из рода быков, и сервис с зеленым медведем в качестве талисмана).
Каждый из этих сервисов предоставляет тестовый доступ к своему функционалу - так что для первичного тестирования вполне хватит, заодно посмотрите все сервисы изнутри и выберете понравившийся для будущих тестирований, если вам выделят бюджет ;)

9. Выбирая опенсорсные решения, будьте готовы повозиться

С нулевым бюджетом нам остается использовать опенсорсные инструменты. Выбрать есть из чего, лично мне все-таки нравится GoPhish как самый user-friendly. НО, выбирая такие решения, будьте готовы к тому, что вам придется повозиться с настройками.
Программное обеспечение надо где-то развернуть. Либо внутри инфраструктуры организации, либо снаружи (сервер VPS, к примеру). В любом случае вы тратите время/ресурсы. В каждом из случаев есть свои нюансы.
К примеру, при выборе GoPhish вам надо будет также развернуть почтовую службу, настроить SPF, DKIM и DMARC (иначе у вас автоматом все в папку спама улетит), купить доменное имя. Если разворачиваете на арендованном сервере - еще и посмотреть, не заблочен ли его ip-адрес РКНом или не числится ли он в базе фишинговых адресов у поставщиков услуг ИБ (а 90% ip-подсетей VPS-серверов там числится). Все это, так или иначе отнимает время.

p.s. На этом пока все. Stay tuned ;)

Мой телеграм-канал https://t.me/alexredsec

Мой твиттер https://twitter.com/ArchieScorp

#phishing

#security

#security_awareness

#фишинг

#иб

#инфобезопасность