Любопытное совместное исследование представили на ЦИПРе Лаборатория Касперского и Технологии доверия.
Коллеги попытались обосновать необходимость приобретения средств защиты через расчет возврата инвестиций (ROI) для придуманной типовой организации на 10000 рабочих мест.
Вместо расчета ROI коллеги фактически рассчитывают влияние средств защиты на ALE (оценка ежегодных потерь).
Саму статистику инцидентов или детальный расчет TCO (совокупной стоимости владения) на первый и последующий года коллеги не приводят.
Поэтому, как мне кажется, получаются "рекордные" значения ROI в 200-800 %.
Другой заметной областью развития отчёта является отсутствие описания порядка внедрения средств. Логично предположить, что первым нужно внедрять средства наибольшим ROI: сначала TI (848%!) и только потом защиту конечных точек (656%!) . Что будет являться стратегической ошибкой в обеспечении безопасности.
В исследование почему то не попали решения антиспама и фактически нет полноценных решений управления уязвимостями.
Надеюсь, что то из вышеуказанного у коллег получится реализовать в следующий итерации исследования.
Что все таки можно использовать из отчёта:
1. Если у вас есть статистика инцидентов с расчетом стоимости по своей компании можно попробовать сравнить себя с отчетом. У коллег получилась интересная оценка зрелости на базе CIS18 и высококритичных событий.
2. Нам фактически отдали публичную стоимость внедрения средств одного из ведущих вендоров. Заказчикам это можно использовать для расчета стоимости закупок, а аудитором можно, с оговорками, сравнить стоимость закупленного с отчетом. С оговорками т.к. все таки организация в отчёте только одного типа и размера.
Коллеги попытались обосновать необходимость приобретения средств защиты через расчет возврата инвестиций (ROI) для придуманной типовой организации на 10000 рабочих мест.
Вместо расчета ROI коллеги фактически рассчитывают влияние средств защиты на ALE (оценка ежегодных потерь).
Саму статистику инцидентов или детальный расчет TCO (совокупной стоимости владения) на первый и последующий года коллеги не приводят.
Поэтому, как мне кажется, получаются "рекордные" значения ROI в 200-800 %.
Другой заметной областью развития отчёта является отсутствие описания порядка внедрения средств. Логично предположить, что первым нужно внедрять средства наибольшим ROI: сначала TI (848%!) и только потом защиту конечных точек (656%!) . Что будет являться стратегической ошибкой в обеспечении безопасности.
В исследование почему то не попали решения антиспама и фактически нет полноценных решений управления уязвимостями.
Надеюсь, что то из вышеуказанного у коллег получится реализовать в следующий итерации исследования.
Что все таки можно использовать из отчёта:
1. Если у вас есть статистика инцидентов с расчетом стоимости по своей компании можно попробовать сравнить себя с отчетом. У коллег получилась интересная оценка зрелости на базе CIS18 и высококритичных событий.
2. Нам фактически отдали публичную стоимость внедрения средств одного из ведущих вендоров. Заказчикам это можно использовать для расчета стоимости закупок, а аудитором можно, с оговорками, сравнить стоимость закупленного с отчетом. С оговорками т.к. все таки организация в отчёте только одного типа и размера.
У коллег Bi.Zone получился хороший митап. По ссылке в посте ниже можно скачать презентацию про практики управления уязвимостями:
1. Bi.Zone детально описали почему управление уязвимостями только начинается от первого сканирования на уязвимости.
2. Альфа-Банк поделился своими практиками, в том числе, по сканированию ДЗО.
3. Wildberriers рассказал как они выстроили управление уязвимостями 19 млн ip адресов на базе фреймворка SANS PIACT.
1. Bi.Zone детально описали почему управление уязвимостями только начинается от первого сканирования на уязвимости.
2. Альфа-Банк поделился своими практиками, в том числе, по сканированию ДЗО.
3. Wildberriers рассказал как они выстроили управление уязвимостями 19 млн ip адресов на базе фреймворка SANS PIACT.
Forwarded from BI.ZONE
Недавно мы провели BI.ZОNE Cybersecurity Meetup #9 — делимся презентациями спикеров:
Всем спасибо за продуктивную и интересную встречу. Оставляйте предложения, вопросы или отзывы через форму обратной связи.
До встречи на следующем митапе!
Please open Telegram to view this post
VIEW IN TELEGRAM
Сообщество в ироничной форме обсуждает новую реальность атак на цепочку поставок на примере недавней атаки на Github.
"Microsoft’s GitHub was compromised when a Microsoft developer using Microsoft VSCode installed a rogue extension from Microsoft’s VSCode extension library, which is moderated and hosted by Microsoft.
I guess I’ll be reevaluating my life choices.
— Darren (@CorboDT) May 20, 2026"
Самое время как минимум поставить в план анализ какие расширения и плагины используют ваши разработчики и что вас защищает от подобного сценария: изоляция рабочих мест разработчиков, процесс согласования установки расширений/плагинов и т.д.
"Microsoft’s GitHub was compromised when a Microsoft developer using Microsoft VSCode installed a rogue extension from Microsoft’s VSCode extension library, which is moderated and hosted by Microsoft.
I guess I’ll be reevaluating my life choices.
— Darren (@CorboDT) May 20, 2026"
Самое время как минимум поставить в план анализ какие расширения и плагины используют ваши разработчики и что вас защищает от подобного сценария: изоляция рабочих мест разработчиков, процесс согласования установки расширений/плагинов и т.д.
Александр Леонов сейчас ведет в Максе live трансляцию с конференции про защиту внешнего периметра - Периметр Метаскан.
https://max.ru/join/bx2mfi4OxJMXxleJ6VIyJ6TkWguSyxcR7m6LvwEBf3E
https://max.ru/join/bx2mfi4OxJMXxleJ6VIyJ6TkWguSyxcR7m6LvwEBf3E
MAX
MAX – быстрое и легкое приложение для общения и решения пов…
Коллеги из Метаскана выпустили свой докер с доработанным NMAP: конфиг улучшение детекта и расширенным покрытием (см слайды ниже).
https://hub.docker.com/r/metascan/nmap
https://hub.docker.com/r/metascan/nmap
Обзорный доклад от лидера защиты от DDOS - компании Митигатор.
Коллега:
1. разобрал основные сценарии защиты от ddos атак.
2. Подсветил важность проверки отчётов по анализу уязвимостей и пентестов. часто недоступность или доступность ресурса означает ответ от системы защиты, а не самого объекта защиты.
3. Очень кратко описал специализированные прикладные техники защиты от DDOS.
4. Указал на важность проверки подмены ip от атакующего. Остаются актуальными атаки когда в качестве подменного адреса используют адреса условного НСПК/ФНС и жертвы начинают блокировать официальные ресурсы.
Коллега:
1. разобрал основные сценарии защиты от ddos атак.
2. Подсветил важность проверки отчётов по анализу уязвимостей и пентестов. часто недоступность или доступность ресурса означает ответ от системы защиты, а не самого объекта защиты.
3. Очень кратко описал специализированные прикладные техники защиты от DDOS.
4. Указал на важность проверки подмены ip от атакующего. Остаются актуальными атаки когда в качестве подменного адреса используют адреса условного НСПК/ФНС и жертвы начинают блокировать официальные ресурсы.
Метаскан поделился довольно радикальным видением по лучшим практикам безопасности инсталляций Битрикса - полностью изолировать от основной инфраструктуры и не хранить в нем конфиденциальные данные.
🤣6👏2