Пессимистические прогнозы по рынку и практикам CTF и bugbounty из за активного использования ИИ с сильными возможностями.
https://shubs.io/the-down-fall-of-bug-bounties/
https://shubs.io/the-down-fall-of-bug-bounties/
shubs
The down fall of bug bounties
A few days ago, I was reading a post by Kabir Acharya on how the CTF scene has died as a result of frontier models killing authentic competition. I couldn't really fault his points, but I started thinking about what could actually fix this. We're not going…
Обновился до новой 5 ой мажорной версии производный стандарт PCI DSS - PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) Modular Security Requirements
Ключевые изменения:
1. для защиты устройств длина ключа минимум 128 бит. Запрет на TDES.
2.Явное добавление использования постквантовой криптографии и на эллиптических кривых в некоторых кейсах.
3.Добавили несколько блоков оценки по удалённому управлению, безопасности решения и передачи ключа в контексте распределенных облачных решений .
4.Собрали в одно место расширили требования к мультитенантному HSM и HSM как сервис.
5. Ряд неактуальных разделов удалили и перераспределили.
P.s. Hardware Security Module (Аппаратный модуль безопасности) — это специализированное физическое устройство (компьютерная плата или выделенный сервер), созданное для генерации, надежного хранения криптографических ключей и проведения защищенных операций шифрования. Частые потребители HSM это финсектор, облачные провайдеры и другие организации которым не хватает скорости и безопасности программных средств хранения ключей.
Ключевые изменения:
1. для защиты устройств длина ключа минимум 128 бит. Запрет на TDES.
2.Явное добавление использования постквантовой криптографии и на эллиптических кривых в некоторых кейсах.
3.Добавили несколько блоков оценки по удалённому управлению, безопасности решения и передачи ключа в контексте распределенных облачных решений .
4.Собрали в одно место расширили требования к мультитенантному HSM и HSM как сервис.
5. Ряд неактуальных разделов удалили и перераспределили.
P.s. Hardware Security Module (Аппаратный модуль безопасности) — это специализированное физическое устройство (компьютерная плата или выделенный сервер), созданное для генерации, надежного хранения криптографических ключей и проведения защищенных операций шифрования. Частые потребители HSM это финсектор, облачные провайдеры и другие организации которым не хватает скорости и безопасности программных средств хранения ключей.
blog.pcisecuritystandards.org
PCI SSC Publishes PCI PTS HSM v5.0
PCI SSC has published a major revision to the PCI PIN Transaction Security (PTS) Hardware Security Module (HSM) Modular Security Requirements from version 4.0 to version 5.0.
Любопытное совместное исследование представили на ЦИПРе Лаборатория Касперского и Технологии доверия.
Коллеги попытались обосновать необходимость приобретения средств защиты через расчет возврата инвестиций (ROI) для придуманной типовой организации на 10000 рабочих мест.
Вместо расчета ROI коллеги фактически рассчитывают влияние средств защиты на ALE (оценка ежегодных потерь).
Саму статистику инцидентов или детальный расчет TCO (совокупной стоимости владения) на первый и последующий года коллеги не приводят.
Поэтому, как мне кажется, получаются "рекордные" значения ROI в 200-800 %.
Другой заметной областью развития отчёта является отсутствие описания порядка внедрения средств. Логично предположить, что первым нужно внедрять средства наибольшим ROI: сначала TI (848%!) и только потом защиту конечных точек (656%!) . Что будет являться стратегической ошибкой в обеспечении безопасности.
В исследование почему то не попали решения антиспама и фактически нет полноценных решений управления уязвимостями.
Надеюсь, что то из вышеуказанного у коллег получится реализовать в следующий итерации исследования.
Что все таки можно использовать из отчёта:
1. Если у вас есть статистика инцидентов с расчетом стоимости по своей компании можно попробовать сравнить себя с отчетом. У коллег получилась интересная оценка зрелости на базе CIS18 и высококритичных событий.
2. Нам фактически отдали публичную стоимость внедрения средств одного из ведущих вендоров. Заказчикам это можно использовать для расчета стоимости закупок, а аудитором можно, с оговорками, сравнить стоимость закупленного с отчетом. С оговорками т.к. все таки организация в отчёте только одного типа и размера.
Коллеги попытались обосновать необходимость приобретения средств защиты через расчет возврата инвестиций (ROI) для придуманной типовой организации на 10000 рабочих мест.
Вместо расчета ROI коллеги фактически рассчитывают влияние средств защиты на ALE (оценка ежегодных потерь).
Саму статистику инцидентов или детальный расчет TCO (совокупной стоимости владения) на первый и последующий года коллеги не приводят.
Поэтому, как мне кажется, получаются "рекордные" значения ROI в 200-800 %.
Другой заметной областью развития отчёта является отсутствие описания порядка внедрения средств. Логично предположить, что первым нужно внедрять средства наибольшим ROI: сначала TI (848%!) и только потом защиту конечных точек (656%!) . Что будет являться стратегической ошибкой в обеспечении безопасности.
В исследование почему то не попали решения антиспама и фактически нет полноценных решений управления уязвимостями.
Надеюсь, что то из вышеуказанного у коллег получится реализовать в следующий итерации исследования.
Что все таки можно использовать из отчёта:
1. Если у вас есть статистика инцидентов с расчетом стоимости по своей компании можно попробовать сравнить себя с отчетом. У коллег получилась интересная оценка зрелости на базе CIS18 и высококритичных событий.
2. Нам фактически отдали публичную стоимость внедрения средств одного из ведущих вендоров. Заказчикам это можно использовать для расчета стоимости закупок, а аудитором можно, с оговорками, сравнить стоимость закупленного с отчетом. С оговорками т.к. все таки организация в отчёте только одного типа и размера.
У коллег Bi.Zone получился хороший митап. По ссылке в посте ниже можно скачать презентацию про практики управления уязвимостями:
1. Bi.Zone детально описали почему управление уязвимостями только начинается от первого сканирования на уязвимости.
2. Альфа-Банк поделился своими практиками, в том числе, по сканированию ДЗО.
3. Wildberriers рассказал как они выстроили управление уязвимостями 19 млн ip адресов на базе фреймворка SANS PIACT.
1. Bi.Zone детально описали почему управление уязвимостями только начинается от первого сканирования на уязвимости.
2. Альфа-Банк поделился своими практиками, в том числе, по сканированию ДЗО.
3. Wildberriers рассказал как они выстроили управление уязвимостями 19 млн ip адресов на базе фреймворка SANS PIACT.
Forwarded from BI.ZONE
Недавно мы провели BI.ZОNE Cybersecurity Meetup #9 — делимся презентациями спикеров:
Всем спасибо за продуктивную и интересную встречу. Оставляйте предложения, вопросы или отзывы через форму обратной связи.
До встречи на следующем митапе!
Please open Telegram to view this post
VIEW IN TELEGRAM
Сообщество в ироничной форме обсуждает новую реальность атак на цепочку поставок на примере недавней атаки на Github.
"Microsoft’s GitHub was compromised when a Microsoft developer using Microsoft VSCode installed a rogue extension from Microsoft’s VSCode extension library, which is moderated and hosted by Microsoft.
I guess I’ll be reevaluating my life choices.
— Darren (@CorboDT) May 20, 2026"
Самое время как минимум поставить в план анализ какие расширения и плагины используют ваши разработчики и что вас защищает от подобного сценария: изоляция рабочих мест разработчиков, процесс согласования установки расширений/плагинов и т.д.
"Microsoft’s GitHub was compromised when a Microsoft developer using Microsoft VSCode installed a rogue extension from Microsoft’s VSCode extension library, which is moderated and hosted by Microsoft.
I guess I’ll be reevaluating my life choices.
— Darren (@CorboDT) May 20, 2026"
Самое время как минимум поставить в план анализ какие расширения и плагины используют ваши разработчики и что вас защищает от подобного сценария: изоляция рабочих мест разработчиков, процесс согласования установки расширений/плагинов и т.д.
Александр Леонов сейчас ведет в Максе live трансляцию с конференции про защиту внешнего периметра - Периметр Метаскан.
https://max.ru/join/bx2mfi4OxJMXxleJ6VIyJ6TkWguSyxcR7m6LvwEBf3E
https://max.ru/join/bx2mfi4OxJMXxleJ6VIyJ6TkWguSyxcR7m6LvwEBf3E
MAX
MAX – быстрое и легкое приложение для общения и решения пов…
Коллеги из Метаскана выпустили свой докер с доработанным NMAP: конфиг улучшение детекта и расширенным покрытием (см слайды ниже).
https://hub.docker.com/r/metascan/nmap
https://hub.docker.com/r/metascan/nmap
Обзорный доклад от лидера защиты от DDOS - компании Митигатор.
Коллега:
1. разобрал основные сценарии защиты от ddos атак.
2. Подсветил важность проверки отчётов по анализу уязвимостей и пентестов. часто недоступность или доступность ресурса означает ответ от системы защиты, а не самого объекта защиты.
3. Очень кратко описал специализированные прикладные техники защиты от DDOS.
4. Указал на важность проверки подмены ip от атакующего. Остаются актуальными атаки когда в качестве подменного адреса используют адреса условного НСПК/ФНС и жертвы начинают блокировать официальные ресурсы.
Коллега:
1. разобрал основные сценарии защиты от ddos атак.
2. Подсветил важность проверки отчётов по анализу уязвимостей и пентестов. часто недоступность или доступность ресурса означает ответ от системы защиты, а не самого объекта защиты.
3. Очень кратко описал специализированные прикладные техники защиты от DDOS.
4. Указал на важность проверки подмены ip от атакующего. Остаются актуальными атаки когда в качестве подменного адреса используют адреса условного НСПК/ФНС и жертвы начинают блокировать официальные ресурсы.