Архив метки: EPSS

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Добавить комментарий

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей. Сразу поясню: у меня никаких претензий к идее EPSS нет. Предсказание скорого появления эксплоитов для уязвимостей! Для всех CVEшек! Бесплатно! Это же просто сказка! Ну, если бы это нормально работало. 😏

И ладно бы, эта штука просто колебалась вслед за новостным потоком: пошли новости о появлении эксплоитов или атак - взлетаем от 0 до 100%. Это, конечно, было бы никакое не предсказание, а просто очередная штука для отслеживания хайповости уязвимостей, тыщи их. Но ведь EPSS даже с этим не справляется! Для MongoBleed с публичным эксплоитом и признаками эксплуатации в атаках EPSS был околонулевой. 🤦‍♂️ И это обычное дело. Как посчитали в CyberOK, при слепом использовании фильтра EPSS>10% вы пропустите половину уязвимостей из CISA KEV. 🤷‍♂️

Я правда жду, когда EPSS-предсказания станут адекватнее, но пока от релиза к релизу ничего не меняется. 😟

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

Добавить комментарий

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую
KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживуюKEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую

KEVintel - новый агрегатор уязвимостей с признаками эксплуатации вживую. Анализируют 50 публичных источников, включая CISA KEV и фиды люксембургского CERT CIRCL, а также данные собственных сенсоров. Помимо признаков эксплуатации вживую, на странице уязвимости отображаются данные из CVE Org, EPSS, упоминания в Интернете, правила детектирования в сканерах (например, nuclei), потенциальные публичные эксплоиты и прочее.

Фид KEVintel можно выгрузить в виде JSON или CSV. Удобно для интеграций, планирую приделать к Vulristics. 😉 Но, к сожалению, в выгрузках сейчас доступны не все данные, отображающиеся на странице уязвимости. 🤷‍♂️ На сайте они намекают на "pro features". Возможно расширенный фид и будет такой платной фичей.

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0

Добавить комментарий

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0. Сама версия, правда, вышла 30 июля, PR-щики не особо спешили. 🙂 Самое заметное изменение - теперь для уязвимостей помимо CVSS и собственного скора Tenable VPR отображается ещё и скор EPSS (Exploit Prediction Scoring System).

Выглядит занимательно, но я как относился к EPSS со скепсисом, так и отношусь. Исследование от Cyentia (можете у Александра Редчица посмотреть), меня не убеждает. 🤷‍♂️ Хайпа много, а результаты как на иллюстрации: VPR высокий, а EPSS низкий. И тут либо фирменная проприетарная система приоритизации от Tenable косячит, либо EPSS. 😎

Ещё в Nessus добавили поддержку CVSS v4, добавили возможности по настройке агентов (в Nessus Manager), доработали offline режим (убрали трафик, генерируемый функциями, которые полагаются на активное подключение к Интернету). Востребованность оффлайн режима после 22-го значительно возросла (ЕВПОЧЯ 😉), можно только поприветствовать улучшения. 👍

Идея на миллион хамстер-коинов

Добавить комментарий

Идея на миллион хамстер-коинов

Идея на миллион хамстер-коинов. 🐹😅 Делаем сайт/апп, на котором можно тапать CVE-шки. Но тапать будет иметь смысл не все CVE, а только те, у которых в течение следующей недели должен появиться подтверждённый эксплоит или признак эксплуатации вживую.

🪙 Когда такой признак или эксплоит действительно появляется, отсыпать коинов тем, кто за последнюю неделю тапал на эту уязвимость. Соразмерно количеству тапов, критичности уязвимости и т.п.

📈 А на основе анализа этих тапов делать прогнозы по эксплуатабельности уязвимостей. С помощью AI естественно.

Уверен, что работать такое будет всяко лучше EPSS и гадалкам по соцсетям. 😅

Кажется разобрался с проблемой с EPSS API

Добавить комментарий

Кажется разобрался с проблемой с EPSS APIКажется разобрался с проблемой с EPSS API

Кажется разобрался с проблемой с EPSS API. Они ежедневно пересчитывают показатель EPSS для каждой CVE. Видимо пока они его не посчитали для текущего дня, они отдают пустое значение. Отдавать в API последнее доступное значение они видимо не догадались. 🤷‍♂️

Поэтому в случае, если вернулись пустые данные можно повторить запрос, указав в параметрах вчерашнюю дату, и тогда требуемое значение скорее всего вернётся. 👍

В Vulristics пофикшу таким образом пока.

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют

1 комментарий

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют
Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуютЯ обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют

Я обнаружил, что EPSS (Exploit Prediction Scoring System) API может НЕ возвращать данные по каким-то CVE уязвимостям, несмотря на то, что эти данные в общей выгрузке присутствуют. 🤷‍♂️ Заметил, что в основном проблема касается уязвимостей CVE-2023-*. При этом никакая ошибка не возвращается. Я не знаю в чём там причина, но видимо лучше не использовать API, а использовать файл с данными для всех CVE, благо его размер всего 1,4 мб. Во всяком случае я планирую сделать так для Vulristics.

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам

Добавить комментарий

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам

Американская микроблоггинговая площадка с птичкой перестаёт быть местом для сбора релевантной инфы по CVE-шкам.

1. В конце июня - начале июля количество сообщений с CVE сократилось с 1272 в рабочий день до 333 в рабочий день. А если не считать ботов, то, в среднем, с 500 в день до 66 в день. Видимо ИБ-шники куда-то мигрировали. Хотя возможно и просто сезонное.
2. Возможность бесплатного экспорта сообщений (в т.ч. с CVE-шками) убрали. 🤷‍♂️

Имхо, это очень даже позитивно. Нечего пользоваться замусоренными мейнстримными соцсеточками для обсуждения ИБ-вопросов, нужно формировать что-то специализированное, а-ля Peerlyst.