Архив за месяц: Сентябрь 2025

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks. Это будет бесплатный митап с техническими докладами и неформальным нетворкингом для практикующих экспертов, энтузиастов и ̶х̶а̶к̶ оффенсив-специалистов. 😉 Проходить он будет с 14:00 до 23:00 в Пространстве ВЕСНА (это лофт у метро Красносельская/Бауманская).

До 26 сентября идёт Call For Papers. "Темы могут быть самыми разными: offensive и defensive security, исследования уязвимостей, багбаунти, кейсы из SOC, автоматизация и DevSecOps, AI и ML в ИБ, управление безопасностью и т.п." Я отдельно спрашивал про Vulnerability Management - тоже можно. 👍

Формат интересный, подумываю податься на CFP или сходить как слушатель. 🙂

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Добавить комментарий

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server. Традиционная ежемесячная подборка. И первая подборка БЕЗ уязвимостей в продуктах Microsoft! 😲🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего восемь идентификаторов трендовых уязвимостей в четырёх продуктах:

🔻 Remote Code Execution - WinRAR (CVE-2025-6218, CVE-2025-8088). Эксплуатируемая RCE при распаковке архивов.
🔻 Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). Эксплуатируемая RCE в компоненте популярной ERP-системы.
🔻 Remote Code Execution - 7-Zip (CVE-2025-55188). Преимущественно Linux-овая RCE при распаковке архивов, есть публичный эксплойт.
🔻 Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). Критичные уязвимости популярной российской ВКС.

Если вы заметили, что вашего вендора нет на карте Средств Управления Уязвимостями (в широком смысле), а он обязательно там должен быть в какой-то категории, или что описание продуктов требует обновления - напишите мне! 🙂

Добавить комментарий

Если вы заметили, что вашего вендора нет на карте Средств Управления Уязвимостями (в широком смысле), а он обязательно там должен быть в какой-то категории, или что описание продуктов требует обновления - напишите мне! 🙂 Возможно, кто-то думает, что я каких-то VA/VM/EASM/DAST/SAST/… вендоров не добавляю на карту из-за каких-то предубеждений. Это не так. Я добавляю всех, чьи решения формально попадают под описание категорий и кто не против быть на карте. Если решения какого-то вендора сейчас не представлены, исправить это очень просто - достаточно написать мне в личку @leonov_av. Идеально, если сразу с логотипом вендора в формате SVG, указанием категории и нейтральным описанием продукта. 🙏 Естественно, это всё бесплатно. 🆓

Пока в планах заменить логотип RedCheck, переименовать FACCT в F6, добавить в Vulns io в СИУ, МТС заменить на Cicada8 и добавить в СДУИ.

По срокам релиза не загадываю, но точно до конца года и до иссякания потока правок.

Закиньте своим PR-щикам и маркетологам! 😉

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М

Добавить комментарий

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М. Ф. Решетнёва. Давненько я не делал гостевых обзорных лекций о VM-е для ВУЗов. Последний раз было года 2 назад. Структура лекции осталась +- той же: Анализ Защищённости, Управление Активами, собственно Управление Уязвимостями и Управление Обновлениями. Но содержание довольно сильно изменилось. Обновил всю статистику, добавил про проекты для offensive-практики и про CVSS v4. Переделал раздел про Методику оценки критичности уязвимостей ФСТЭК на новую версию от 30.06.2025. Раздел про использование Vulristics для приоритизации уязвимостей тоже расширил. 😉 Всего вышло 220 слайдов.

Лекция прошла отлично. Было ~26 человек. Под конец обсудили интересные вопросы про управление экспозициями и перспективы CVSS 4 в России (я надеюсь, что перспектив не будет 😉).

Большое спасибо администрации СибГУ и лично Вячеславу Золотареву за приглашение выступить! 👍 Было здорово! 🤝

Компания Positive Technologies попала в свежий отчёт IDC "Worldwide Device Vulnerability and Exposure Management Market Shares, 2024"

Добавить комментарий

Компания Positive Technologies попала в свежий отчёт IDC "Worldwide Device Vulnerability and Exposure Management Market Shares, 2024". 🎉 Диаграмма из отчёта была опубликована в блоге Tenable. Если верить диаграмме, у Positive Technologies 2,4% мирового рынка DVEM оцененного в $ 2,6 млрд и растущего на 8,1%.

"Эта презентация IDC рассматривает рыночные доли ведущих вендоров на рынке управления уязвимостями и экспозициями устройств за 2024 год.

«Переход к управлению экспозициями — это не просто смена стратегии; это фундаментальная эволюция в том, как организации воспринимают и снижают риски. Принимая управление экспозициями, бизнес переходит к проактивному, целостному подходу, который выявляет, приоритизирует и устраняет экспозиции ещё до того, как они станут угрозами»."

К сожалению, ссылку на extract Tenable не распространяют. 🤷‍♂️ Доступ к отчёту на сайте IDC стоит $7,500.00. 🙂 Будем ждать подробности. 😉

Посмотрел лендинг нового решения Cicada8 Vulnerability Management (CIC VM)

Добавить комментарий

Посмотрел лендинг нового решения Cicada8 Vulnerability Management (CIC VM). Cicada8 это вендор, связанный с МТС. Cicada8 VM - on-prem решение предназначенное для управления уязвимостями во внутреннем периметре компании.

🖼 Скриншоты демонстрируют: дашборды с критичностью уязвимостей и статусом их устранения, возможности тегирования активов, настройки сканов по расписанию и возможности инвентаризации активов.

📢 В маркетинговых мессаджах подчёркивается: предложение компенсирующих мер для найденных уязвимостей, возможность подстройки под политики и регламенты компании, отслеживание выполнения SLA, построение карты сети, интеграция с EASM-решением Cicada8 ETM.

⚡️ Отдельный акцент делают на скорости и масштабируемости: 12 минут на развёртывание системы, возможность распределённого сканирования, 9 минут для скана подсети , одновременное сканирование 40к хостов. Но для каких именно типов сканирования эти цифры не уточняется. 😉

В полку отечественных VM-вендоров прибыло. 🎉👍

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО

Добавить комментарий

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО. Начал с определения уязвимости, типов уязвимостей, прошёлся по своим примерам и указал, с чем играться дальше: VulnHub с Metasploitable 1-2-3, Vulhub, OWASP Juice Shop. Эксплуатация уязвимостей не в фокусе курса, но её важно попробовать. 👾

Затем жизненный цикл уязвимости, инструменты детектирования по карте вендоров, CVE-шки, пока ещё MITRE CVE Org, NIST NVD, БДУ ФСТЭК. Чтобы понимать, какие данные есть в паблике. 🕵️‍♂️

🎯 Подробно про CVSS v3.1 и CVSS 4. Первый - для методики ФСТЭК, второй - для международки. Практическая работа по составлению CVSS векторов и сравнению их с готовыми из NVD/БДУ. Чтобы понять, как мало мы знаем про уязвимости и насколько субъективны оценки критичности. 😉

Бонусом рассказал про приоритизацию уязвимостей с помощью Vulristics по материалам последнего PHDays.

Следующая лекция через неделю - про детектирование. 😇

Александр В. Леонов

Управление Уязвимостями и прочее

Архив за месяц: Сентябрь 2025

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М

Компания Positive Technologies попала в свежий отчёт IDC "Worldwide Device Vulnerability and Exposure Management Market Shares, 2024"

Посмотрел лендинг нового решения Cicada8 Vulnerability Management (CIC VM)

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО