Архив за месяц: Июль 2025

Не пора ли создать российский аналог CISA KEV?

Не пора ли создать российский аналог CISA KEV?

Не пора ли создать российский аналог CISA KEV? Я, конечно, не в курсе технических подробностей недавних инцидентов в крупных отечественных компаниях, но что-то подсказывает, что без эксплуатации известных критичных уязвимостей, незапатченных своевременно, там не обошлось.

Можно, конечно, говорить, что пострадавшие организации сами виноваты. Им дали базу уязвимостей, методику оценки критичности уязвимостей, руководство по построению VM-процесса. Могли бы делать, как написано, и эксплуатабельные уязвимости устранялись бы. Или, как минимум, могли бы обращать внимание на трендовые уязвимости от PT. Но, похоже, организации не тянут это без директивной стимуляции. 🤷‍♂️

Как CISA ставит федеральным агентствам США чёткие дедлайны по устранению конкретных особо критичных уязвимостей, эксплуатация которых была подтверждена, так и наши регуляторы могли бы ставить аналогичные дедлайны. Хотя бы для организаций, на которые распространяется 117-й приказ и для КИИ.

На сайте Positive Technologies вышла новость о внедрении MaxPatrol VM на предприятии и "Уральская сталь" (Оренбургская область)

На сайте Positive Technologies вышла новость о внедрении MaxPatrol VM на предприятии и Уральская сталь (Оренбургская область)

На сайте Positive Technologies вышла новость о внедрении MaxPatrol VM на предприятии и "Уральская сталь" (Оренбургская область). Работы проводил системный интегратор Wone IT. Крутой у них нейминг, yep. 🔥😅

В новости самое интересное - это описание этапов внедрения VM-продукта:

🔹 Инсталляция MPVM, конфигурация компонентов, первоначальная настройка, разработка типовых документов и технического задания.

🔹 Аудит и категоризация имеющихся IT-активов. "Создана база данных и автоматизирован импорт информации из различных ресурсов, включая внешние каталоги и другие ИБ-решения".

🔹 Редактирование встроенных правил и политик управления выявленными уязвимостями, фильтрация незащищённых активов, разработка пользовательских виджитов и дашбордов.

🔹 Разработка документации с пояснениями, регламентами и руководствами для администраторов и операторов системы.

🔹 Опытно-тестовая эксплуатация.

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года

На Хабре вышел мой отчёт по трендовым уязвимостям первой половины 2025 года. С начала 2025 года до 30 июня мы отнесли к трендовым 37 уязвимостей. А за весь 2024 год - 74 уязвимости. Похоже, что в этом году к трендовым будет отнесено примерно столько же уязвимостей, что и в прошлом году. 🤔 А судя по затишью в прошлом и этом месяце, может, и поменьше.

🔻 Для 30 уязвимостей есть зафиксированные признаки эксплуатации в атаках, для 7 - публичные эксплоиты (но пока нет признаков эксплуатации).

🔻 По типам уязвимостей большая часть - это выполнение произвольного кода (15), и повышение привилегий (13).

🔻 22 трендовые уязвимости касаются продуктов Microsoft (59 %). Остальные вендоры: 7-Zip, MDaemon, Zimbra, CommuniGate, Roundcube, Erlang, Fortinet, Palo Alto Networks, Apache, Kubernetes, VMware.

🗒 Полный отчёт Vulristics

Про уравнивание бюджетов IT и ИБ

Про уравнивание бюджетов IT и ИБ

Про уравнивание бюджетов IT и ИБ. В ответ на мой вчерашний пост прилетел комментарий, что уравнивать бюджеты IT и ИБ - это как ежегодно страховать автомобиль за его полную стоимость - не имеет смысла. В чём проблема такой аналогии?

Автомобиль обладает ценностью сам по себе, которую "защищают" страхованием. Но, защищая IT-активы, мы имеем в виду НЕ сами железные сервера или виртуалки. Сам сервер и его настройка "чтоб работало" имеет небольшую ценность. Основная же ценность - это информация, которая на нём хранится и обрабатывается. А обеспечивать её безопасность (конфиденциальность, целостность и доступность 😉) требуется от всего спектра угроз.

Автомобиль, перевозящий что-то супердорогое (бриллианты?), запросто может страховаться дороже своей стоимости. И не каждый страховщик компенсирует ущерб с учётом содержимого при таргетированной атаке. 😉

Безопасность - это дорого! Если ИБ хронически недофинансируется даже по сравнению с IT, последствия будут… Сами видите, какие. 🤷‍♂️

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Как по мне, ответы очевидны:

🔹 Виноват всегда гендир. Такая у него должность. 🙂

🔹 Компаниям следует начать тратить на ИБ ГОРАЗДО БОЛЬШЕ денег, чем раньше. 💰 В первую очередь на кибергигиену (включая VM), Zero Trust и резервные "бумажные" процессы работы на случай, когда (а не если) вся IT ляжет.

И сколько же тратить? Однажды о. Дмитрий Смирнов на вопрос телезрительницы "какую часть зарплаты нужно жертвовать на храм" в эпатажной манере ответил, что "всю зарплату". 🤯😱🤔 А уже потом перешёл к "доброхотности даяния". Мне кажется, метод стоит перенять и начинать с тезиса, что организации должны тратить на ИБ все имеющиеся средства (и будет мало!). А уж затем оценивать стоимость недопустимых событий и простоя…

В любом случае, на ИБ следует тратить не меньше, чем на IT. 😉

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. В этот раз 470 уязвимостей, чуть меньше, чем в июне. Из них 291 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-6554)

Ещё для 36 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:

🔸 RCE - Redis (CVE-2025-32023), pgAdmin (CVE-2024-3116), Git (CVE-2025-48384)
🔸 EoP - Sudo (CVE-2025-32462, CVE-2025-32463)
🔸 PathTrav - Tar (CVE-2025-45582)
🔸 XSS - jQuery (CVE-2012-6708)
🔸 SFB - PHP (CVE-2025-1220)
🔸 DoS - LuaJIT (CVE-2024-25177), Linux Kernel (CVE-2025-38089)
🔸 MemCor - DjVuLibre (CVE-2025-53367)

🗒 Полный отчёт Vulristics

Отключил реакции в своих каналах и другим авторам советую

Отключил реакции в своих каналах и другим авторам советую

Отключил реакции в своих каналах и другим авторам советую. 😉 Давным-давно Павел Дуров презентовал технические ограничения Телеграм-каналов как специально задуманную фичу:

Каналы - это чистая односторонняя коммуникация
!

Никакого ненужного шума от лайков и комментов. Только вы, ваши сообщения и читатели, которые на вас подписаны… 😇

Но потом появились и реакции, и комментарии, и даже сторисы… 🙄

Теперь сообщения практически во всех каналах обрамлены "облаком общественного одобрения и неодобрения", которое стало частью сообщения.

🔹 Читатели подспудно соотносят своё восприятие сообщения с чужими реакциями.

🔹 Для автора реакции становятся источником дешёвого дофамина ("Ура, ИМ понравилось! 🤩 Я молодец! Нужно ещё похожего написать, чтобы ещё полайкали! 😊") или расстройств, когда минусуют.

И всё это от пары десятков анонимных кликов по эмоджи! Которые элементарно накручиваются. Ну, бред же! Бреед! 🤪

Теперь с обратной связью прошу в комменты live-канала или личку. 😉