Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Что если стоимость страхования киберрисков для компании определялась бы не по анкетам, а по реальному состоянию защищённости инфраструктуры?

Добавить комментарий

Что если стоимость страхования киберрисков для компании определялась бы не по анкетам, а по реальному состоянию защищённости инфраструктуры?

Что если стоимость страхования киберрисков для компании определялась бы не по анкетам, а по реальному состоянию защищённости инфраструктуры? В блоге Qualys сегодня появилась интересная новость. Они совместно с компанией Converge, специализирующейся на киберстраховании, запускают совместное решение по андеррайтингу киберрисков в реальном времени. Андеррайтинг - это процесс, в котором страховая компания оценивает риск и решает: страховать компанию или нет, сколько будет стоить полис, какие ограничения будут в страховке (например, что покрывается, а что нет). Так вот, большинство андеррайтеров по-прежнему полагаются статические анкеты самоотчётности (self-reported static questionnaires) - документы, которые долго заполняются, отличаются от организации к организации и по сути не отражают реальное состояние безопасности инфраструктуры организации. В результате страховые премии (сумма, которую компания платит за страховку, обычно раз в год) формируются на основе предположений о практиках безопасности организации.

Получается, что руководители ИБ инвестируют значительные бюджеты и усилия в снижение риска. Они внедряют управление уязвимостями. Обеспечивают управление патчами. Мониторят конечные точки. А затем при продлении полиса киберстрахования снова заполняют ту же статическую анкету, что и 12 месяцев назад, вручную, по памяти, без связи с проверенными данными, уже находящимися в их платформе безопасности. Этот разрыв в данных стоит организациям денег. Андеррайтеры, работая с неполной информацией, оценивают риск консервативно. Организации с действительно сильной программой безопасности фактически субсидируют более слабые.

Для решения проблемы Qualys сделали Converge Connect Insurance Report (CCIR), который фиксирует данные по ИБ-решениям Qualys, используемым в организации:

🔹 Enterprise TruRisk Management (ETM)
🔹 Vulnerability Management, Detection & Response (VMDR)
🔹 Возможности управления патчами TruRisk Eliminate
🔹 Endpoint Detection & Response (EDR)

Этот отчёт передаётся в Converge через назначенного брокера (Symphony Risk Solutions), дополняя традиционную анкету и снижая количество вопросов в процессе страхования. Андеррайтеры получают проверенные данные. Организации получают премию, отражающую реальный уровень киберриска.

Предложение доступно клиентам Qualys в США в большинстве отраслей с выручкой до 5 млрд долларов. Минимальное требование - активная подписка на VMDR.

Интерес Qualys в этой инициативе довольно понятный и многослойный.

1️⃣ Они усиливают ценность своих продуктов. Раньше Qualys продавал инструменты для управления уязвимостями, патчами и endpoint-ами как способ снизить киберриски. Теперь это подаётся гораздо сильнее: не просто "вы снижаете риск", а "вы потенциально снижаете стоимость киберстраховки". Для бизнеса это уже более осязаемый финансовый эффект.

2️⃣ Это стимулирует расширение использования их экосистемы. В программе участвуют только клиенты с определёнными продуктами Qualys. Чем больше модулей используется, тем полнее данные, тем качественнее отчёт для страховщика и тем выше шанс на снижение страховой премии. Это классический механизм увеличения проникновения внутри клиента.

3️⃣ Появляется эффект привязки к платформе. Если страховая начинает учитывать данные Qualys при оценке риска и расчёте цены, переход на другого вендора становится сложнее. Исторические данные, отчёты и привычный формат оценки риска оказываются завязаны на одну систему.

4️⃣ И наконец, Qualys фактически расширяет своё присутствие за пределы классического рынка кибербезопасности. Они заходят в смежную область - киберстрахование и управление финансовым риском. В перспективе это превращает их не просто в security-вендора, а в один из ключевых источников данных для оценки киберрисков на рынке.

Конкурирующие с Qualys вендоры могут делать то же самое, ведь у них тоже есть данные о состоянии безопасности, на основе которых можно строить риск-отчёты для страховых. Но ключевой вопрос не в наличии данных, а в доверии и стандартизации: страховые должны признавать эти метрики объективными и использовать их в андеррайтинге.

Собираюсь поучаствовать в конференции "ПЕРИМЕТР" от METASCAN 22 мая в Москве

Добавить комментарий

Собираюсь поучаствовать в конференции ПЕРИМЕТР от METASCAN 22 мая в Москве

Собираюсь поучаствовать в конференции "ПЕРИМЕТР" от METASCAN 22 мая в Москве. Конференция позиционируется как оффенсерская и техническая: "пространство, где инженеры ИБ, реверсеры, хардварщики и исследователи уязвимостей говорят на одном языке и могут спокойно уходить в детали". При этом именно с акцентом на детектировании уязвимостей на сетевом периметре и его пробиве. Профильная VM-ная конфа! 🤩 В программе заявлены доклады об уязвимостях Рунета, ограничениях сетевого сканирования и использовании AI в ресёрче. 😉 Будет и подборка интересных находок на периметре за 2025-2026 год. Сам я выступлю с мини-докладом о роли и месте EASM в VM/CTEM-процессе. Кроме того, поучаствую в круглом столе "Управление безопасностью внешнего периметра: практики и вызовы".

Партнёры конференции Сбербанк, Xello, Mitigator и Indeed также выступят с докладами.

Помимо докладов ожидаются хардкорные гиковские развлекушечки: lockpicking, RFID и NFC-эксперименты, соревновательный OSINT, конкурс по обходу фильтров антифишинга (в каком состоянии - не уточняется 🙂), ретро-компьютеры (ZX Spectrum, Commodore 64, Commodore Amiga, Микроша, Atari), демосцена. Даже турнир по DOOM II будет. 🫶

В общем, считаю, что для VM-щиков мероприятие будет полезным и по возможности стоит туда выбраться. Тем более что участие бесплатное, но требуется регистрация.

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck

Добавить комментарий

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck

На прошлой неделе Дмитрий Черняков выложил на сайте АЛТЭКС-СОФТ интересную новость о возобновлении выпуска Windows-версий сканера уязвимостей RedCheck. Суть там в следующем: АЛТЭКС-СОФТ более трёх лет вкладывали все ресурсы в развитие Linux-версии RedCheck из опасения не вписаться в тренды импортозамещения. Приоритетом было не добавление новой функциональности, а миграция архитектуры продукта. Сначала продукт перевели на СУБД PostgreSQL. Затем на Linux, выбрав Astra Linux в качестве базового дистрибутива. В итоге в декабре 2023 года АЛТЭКС-СОФТ выпустили стабильную Linux-версию RedCheck 2.7.0 и стали выпускать новые версии (примерно раз в полгода) только под Linux. Казалось бы, успех: проект миграции на российскую ОС успешно выполнен, и дальше можно развивать только Linux-версию? А вот и нет.

Отследив активации лицензий и версии сканеров, в компании оценили, какие версии реально используют пользователи. Оказалось, что большинство до сих пор работает со старой Windows-версией. Причины могут быть разные: нехватка Linux-специалистов, боязнь нового, доступность "серого" ПО Microsoft или всё вместе. В итоге в АЛТЭКС-СОФТ признали: они переоценили темпы перехода на отечественные ОС, и Windows в России по-прежнему широко используется.

Было принято решение возобновить выпуск современной Windows-версии и перейти к кроссплатформенной кодовой базе. АЛТЭКС-СОФТ планируют это сделать с версии 2.14, которая выйдет осенью. Разработка потребует времени и ресурсов и повлияет на текущие планы, часть задач будет пересмотрена по срокам. Код для Linux-версии изначально создавался кроссплатформенным, тратить время на его перенос не потребуется. Придётся потратить время только на сборку и отладку под компонентную зависимость Windows. Есть основания полагать, что АЛТЭКС-СОФТ смогут это сделать достаточно быстро. Выходу RedCheck VM это повредить не должно, т.к. это технически независимый продукт, и над ним работает другая команда.

Из-за значительного технологического разрыва между версиями 2.6 и 2.14 бесшовное обновление Windows-версии будет невозможно. Придётся переходить либо через чистую установку с переносом хостов и групп через CSV, либо через поэтапную миграцию с промежуточными Linux-версиями с сохранением всех данных и конфигураций.

Чему может научить эта история?

🔹 Прежде чем принимать важные решения по изменению архитектуры, необходимо удостовериться, что конкретно ваши клиенты к этому готовы. Архитектурные изменения, вполне принимаемые и даже ожидаемые в Enterprise-сегменте, могут не приниматься сегментом SMB. Нужно знать своего клиента.

🔹 Как видим, половинчатая позиция государства по части импортозамещения ОС создаёт проблемы разработчикам отечественного ПО. Непонятно, насколько это импортозамещение всерьёз. Если всерьёз, то необходимо усиление регуляторного давления на бизнес (не только гос. сектор), чтобы использование продукции Microsoft было максимально неудобным, дорогим, рискованным, нерукопожатным. Ну, это если действительно есть заинтересованность в импортозамещении ОС. А если её нет, то не стоит удивляться, что российские бизнесы продолжат сидеть на ПО Microsoft (в надежде, что когда-нибудь всё будет как раньше 😏) и всю риторику по импортозамещению пропускать мимо ушей.

На первые майские праздники мы снова съездили в Тверь

Добавить комментарий

На первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в ТверьНа первые майские праздники мы снова съездили в Тверь

На первые майские праздники мы снова съездили в Тверь. 🙂

🫖 Посетили "Музей тверского быта". Он размещён в нескольких зданиях: бывшем доме купцов Арефьевых и городской усадьбе, построенной для тверского купца Павла Ивановича Пирогова. На территории усадьбы XVIII века расположены постройки разных периодов: главный усадебный дом, два флигеля, пряничная пекарня, беседка, амбар и колодец. На экскурсии "В гостях у тверских купцов" познакомились с их бытом: увидели рабочий кабинет хозяина и комнаты членов семьи. На интерактивной экскурсии "Русские самовары. Тверское чаепитие" познакомились с коллекцией предметов для русского чаепития (сбитенники, дорожные самовары и самовары-эгоисты, бульотки, чаеварки, подносы, щипцы для колки сахара и посуда), узнали о традициях русского чаепития, попробовали чай, приготовленный по старинному способу, с тверскими угощениями (пряники, баранки, сушки и сухари).

✂️ В детском музейном центре сходили на экскурсию, посвящённую 225-летию со дня рождения В. И. Даля. Он был не только составителем первого толкового словаря, но и морским офицером, врачом, путешественником, ремесленником и писателем. На мастер-классе "Королевство теней" посмотрели сказку "Горшок Горшкович" (про злой глиняный горшок, который всех кушал 😱, но потом разбился, и все из него благополучно выбрались 👍) и сделали собственные "горшки": и кусачие, и добрые. 😅

🎶 Сходили на концерт хоровой капеллы Тверской академической областной филармонии "Золотые хиты восьмидесятых-двухтысячных". Послушали каверы на Queen, Scorpions, Rammstein, КиШ, Наутилус Помпилиус и многих других. Тверская филармония, как всегда, очень порадовала. 🙂

📜 Сходили на экскурсию "Сказка про сказки" в тверском историческом парке "Россия - Моя История". Нам рассказали о том, как появились сказки, кто их собирал, какова их типовая структура, какие персонажи и локации в них встречаются. Всё это сочеталось с описанием реального русского быта. Очень красочная экспозиция. 👍

Много гуляли, благо в субботу-воскресенье погода для этого была просто идеальная. 🚶 Наконец-то уже тепло! Дождались. 😇 Кушали вкусно - любимый ресторан не подводит. В общем, отлично съездили.

Про уязвимость Elevation of Privilege - Linux Kernel "Copy Fail" (CVE-2026-31431)

Добавить комментарий

Про уязвимость Elevation of Privilege - Linux Kernel Copy Fail (CVE-2026-31431)

Про уязвимость Elevation of Privilege - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость локального повышения привилегий в компоненте ядра Linux AF_ALG, которая вызвана ошибкой работы с памятью, позволяет непривилегированному пользователю поднять привилегии до root-а. Проэксплуатировав эту уязвимость, злоумышленник может полностью захватить систему: читать и изменять любые файлы, включая пароли и ключи, подменять системные бинарные файлы, отключать защитные механизмы и средства мониторинга, незаметно устанавливать бэкдоры и закрепляться в системе, скрывать следы своей активности, использовать хост как плацдарм для атак на другие сетевые активы.

⚙️🛠 1 апреля патчи, устраняющие уязвимость, были внесены в основную ветку Linux Kernel. 22 апреля был заведён CVE идентификатор уязвимости. 29 апреля эксперты компании Theori опубликовали разбор уязвимости и публичный эксплойт. Эксплуатабельность уязвимости была подтверждена на актуальных версиях популярных дистрибутивов Linux: Ubuntu, Amazon Linux, RHEL, SUSE.

👾 1 мая уязвимость была добавлена в CISA KEV, что свидетельствует об эксплуатации уязвимости в реальных атаках.

Что отличает эту уязвимость от подобных EOP/LPE в Linux?

В Linux Kernel уже были громкие уязвимости повышения привилегий. Dirty Cow требовала выигрыша в race condition. Часто приходилось делать несколько попыток, и иногда это приводило к падению системы. Dirty Pipe была привязана к конкретным версиям и требовала точных манипуляций с pipe buffer.

Но, в отличие от Dirty Cow и Dirty Pipe, как сообщают исследователи, Copy Fail - это прямолинейная логическая ошибка. Она срабатывает без гонок, повторных попыток или нестабильных временных окон, приводящих к сбоям.

🧬 Портируемость. Один и тот же скрипт эксплуатации работает на всех протестированных дистрибутивах и архитектурах, включая Ubuntu, Amazon Linux, Red Hat Enterprise Linux и SUSE Linux Enterprise. Никаких оффсетов под конкретный дистрибутив. Никакой перекомпиляции. В эксплоите нет проверок версии.

✧ Минимализм. Весь эксплойт - это короткий скрипт на Python, использующий только стандартные модули библиотеки os, socket, zlib. Требуется Python 3.10+ для os.splice. Никаких скомпилированных нагрузок, никакой установки зависимостей.

🥷 Скрытность. Операция записи выполняется, минуя обычный путь записи VFS ("ordinary VFS write path"). Повреждённая страница никогда не помечается ядром как dirty в механизме writeback. Стандартные инструменты контроля целостности файлов, сравнивающие контрольные суммы на диске, не заметят эксплуатацию, потому что файл на диске не изменяется. Повреждается только кэш страниц в памяти.

📦 Межконтейнерное воздействие. Кэш страниц разделяется всеми процессами в системе, в том числе между контейнерами. Copy Fail - это не просто локальное повышение привилегий. Это примитив выхода из контейнера и вектор компрометации узла Kubernetes.

Как устранить уязвимость?

Для устранения уязвимости пользователям необходимо обновиться до версий ядра Linux 6.18.22, 6.19.12 и 7.0. Ядро можно собрать самостоятельно или дождаться, когда обновления пакетов ядра выпустит вендор вашего Linux-дистрибутива. По состоянию на 4 мая вышли обновления для Ubuntu, Debian, RHEL, Fedora, SUSE, CloudLinux, Arch Linux, ROSA Linux.

В качестве workaround-а исследователи предлагают заблокировать создание сокетов AF_ALG:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null

Закончу разбирать основной VM-ный пункт "3.3. Управление уязвимостями (КУ)" из недавно опубликованного методического документа "Мероприятия и меры по защите информации, содержащейся в информационных системах", и сравню его с версией из февральского драфта документа, чтобы отследить принятые правки.

Добавить комментарий

Закончу разбирать основной VM-ный пункт 3.3. Управление уязвимостями (КУ) из недавно опубликованного методического документа Мероприятия и меры по защите информации, содержащейся в информационных системах, и сравню его с версией из февральского драфта документа, чтобы отследить принятые правки.

Закончу разбирать основной VM-ный пункт "3.3. Управление уязвимостями (КУ)" из недавно опубликованного методического документа "Мероприятия и меры по защите информации, содержащейся в информационных системах", и сравню его с версией из февральского драфта документа, чтобы отследить принятые правки. В прошлый раз я расписал Цели и Требования к реализации, сегодня рассмотрю Требования к документированию и Требования к усилению.

ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ

Фактически весь раздел описывает требования к содержанию внутреннего регламента по управлению уязвимостями информационных систем.

👥 Подразделения / работники

"перечень подразделений (работников), ответственных за организацию и контроль управления уязвимостями, а также участвующих в реализации процессов управления уязвимостями, их обязанности (функции) и права (полномочия);"

Получается, что подразделения (работники) делятся на:

🔹 ответственных за организацию и контроль управления уязвимостями;
🔹 участвующих в реализации процессов управления уязвимостями.

Для каждого подразделения (работника) необходимо расписать:

🔹 обязанности (функции);
🔹 права (полномочия).

Напрашивается таблица следующей структуры:

Подразделение (работник); За что отвечает; В реализации каких процессов участвует; Обязанности (функции); Права;

📋 Операции

Требования по документированию операций имеют идентичную структуру:

"описание операций, осуществляемых при {название этапа (подпроцесса)}, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при {название этапа (подпроцесса)}"

Буквально вот так:

"описание операций, осуществляемых при мониторинге уязвимостей и оценке их применимости, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при мониторинге уязвимостей и оценке их применимости;
описание операций, осуществляемых при оценке уязвимостей, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при оценке уязвимостей;
описание операций, осуществляемых при определении методов и приоритетов устранения уязвимостей, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при определении методов и приоритетов устранения уязвимостей;
описание операций, осуществляемых при устранении уязвимостей, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при устранении уязвимостей;
описание операций, осуществляемых при контроле устранения уязвимостей, перечень исполнителей операций, продолжительность реализации, входные и выходные данные, используемые при контроле устранения уязвимостей;"

Напрашивается таблица следующей структуры:

Этап (подпроцесс); Наименование операции; Описание операции; Перечень исполнителей; Продолжительность реализации; Входные данные; Выходные данные;

Типовые операции и их описания можно взять из Таблиц 3.1, 4.1, 5.1, 6.1, 6.2, 7.1, 7.2 "Руководства по организации процесса управления уязвимостями в органе (организации)" от 17 мая 2023 г. (далее для краткости буду обозначать документ как РУУ23).

🗺️ Схемы

"схемы взаимодействия подразделений (работников) при реализации операций по управлению уязвимостями."

Интересно, что здесь требуются схемы взаимодействия при реализации операций. А операция, в терминах РУУ23, - это что-то более-менее атомарное, чем занимается один исполнитель. Например, "Анализ информации об уязвимости" или "Корректировка механизмов мониторинга". Это не тот уровень, где подразумевается взаимодействие. Есть подозрение, что авторы здесь имели в виду не конкретные операции, а этапы (подпроцессы). По аналогии с тем, как этапы разрисованы в РУУ23 на Рисунках 2.2, 3.1, 4.1, 5.1, 6.1, 6.2, 7.1, 7.2. Здесь требуется разъяснение регулятора, какие именно схемы должны быть приведены в регламенте. Текущая формулировка неоднозначна.

📜 Какие различия с драфтом?

В релизе убрали требование "перечень информационных систем, для которых осуществляется управление уязвимостями;". Скорее всего, этот пункт убрали, чтобы не привязывать регламент к статическому перечню информационных систем, который быстро устаревает и дублирует данные из CMDB или реестра активов, а также чтобы закрыть лазейку формального комплаенса, когда систему можно просто не включить в список и не управлять её уязвимостями; в результате область применения становится неявно шире и распространяется на все релевантные ИС, что делает подход более процессным и универсальным.

Остальные правки касались только орфографии.

К сожалению, требования к документированию не затрагивают, как именно описываются уязвимости и как ставятся задачи для IT на их устранение. 😔 А ведь именно от качества описаний и постановки задач зависит, будут ли уязвимости корректно поняты и устранены в требуемый срок. Без этого процесс управления уязвимостями рискует остаться формальным.

ТРЕБОВАНИЯ К УСИЛЕНИЮ

Насколько вообще обязательны требования из этого раздела? Читаем в сноске в пункте 3.1:

"Усиления мероприятий (процессов) по защите информации, приведенные в подразделах «требования к усилению» раздела 3, применяются по решению оператора (обладателя информации) для повышения эффективности реализации мероприятий по защите информации и повышения уровня защищенности информационных систем и содержащейся в них информации, а также для снижения возможности нарушителей по реализации угроз безопасности информации.

⚙️ Автоматизация

1) для управления уязвимостями используются автоматизированные системы управления уязвимостями;

Процесс управления уязвимостями теоретически можно выстроить и без автоматизированных VM-систем, работая вручную со сканерами, таблицами и тикетами. Но на практике при росте числа систем и изменений такой процесс быстро перестаёт быть устойчивым. Становится сложно поддерживать актуальную картину по уязвимостям и понимать, на каких активах они находятся и насколько они критичны для бизнеса. Также становится трудно выдерживать требования по срокам устранения. Поэтому это не столько "усиление", сколько базовое условие, без которого современный VM-процесс фактически не работает.

👾 Анализ угроз

2) для мониторинга уязвимостей применяются средства анализа угроз, в том числе TI-платформы;

Фактически это требование означает, что управление уязвимостями должно стать частью CTEM (Continuous Threat Exposure Management) и учитывать данные о реальной эксплуатации уязвимостей: какие из них уже используются атакующими, какие техники применяются и в каких сценариях. В связке с анализом путей атаки это позволяет понимать, как уязвимости используются злоумышленниками для проникновения к целевым активам, и соответственно приоритизировать их устранение.

🗃️ CMDB

3) для оценки применимости уязвимостей используются данные, содержащиеся в автоматизированных системах сбора и хранения данных об объектах инвентаризации и их конфигурациях (СMDB-системы); (в документе в "СMDB" кириллическая С 🤷‍♂️)

Это нужно, чтобы управление уязвимостями опиралось на полный и актуальный контекст инфраструктуры. CMDB задаёт перечень активов, их конфигурации, связи и критичность для бизнеса. Без CMDB информацию об активах приходится получать исключительно методом активного сканирования, у которого могут быть ограничения по полноте и точности.

🤝 Смежные процессы

4) для контроля устранения уязвимостей используются результаты мониторинга информационной безопасности или управления обновлениями, или управления конфигурациями.

Это требование означает, что контроль устранения уязвимостей должен опираться на перекрёстные проверки из уже существующих процессов - мониторинга ИБ, управления обновлениями и управления конфигурациями. Такой подход снижает риск ошибок, когда устранение уязвимости подтверждается только средством анализа защищённости (САЗ), но фактически проблема в системе сохраняется. Использование нескольких независимых источников позволяет подтвердить факт устранения с разных сторон и повысить достоверность контроля.

📜 Какие различия с драфтом?

В релиз не вошло требование "для мониторинга уязвимостей и оценки их применимости используются результаты контроля (оценки) уровня защищенности информации;"

Очень жаль, что убрали этот пункт, потому что результаты пентестов и независимого анализа защищённости часто выявляют уязвимости, которые по каким-то причинам не обнаруживаются штатными САЗ, используемыми в процессе управления уязвимостями. Такие находки являются индикатором проблем в процессе: недостаточного покрытия активов, низкого качества детектирования или несоблюдения сроков устранения. Они позволяют объективно оценить эффективность VM-процесса и улучшить его.

Остальные исправления касаются опечаток и косметических изменений.

---

Вот такой получился разбор. Пишите в комментариях, понравился ли формат и следует ли продолжать разбор других VM-ных пунктов. 😉

Апрельский "В тренде VM": уязвимость в Microsoft SharePoint

Добавить комментарий

Апрельский В тренде VM: уязвимость в Microsoft SharePoint

Апрельский "В тренде VM": уязвимость в Microsoft SharePoint. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Она снова моновендорная, майкрософтовская, и в этот раз компактнее некуда. Если в прошлом мартовском было четыре трендовые уязвимости, то в этом апрельском только одна. В следующем майском ожидаем как минимум три трендовые уязвимости. 😉

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Уязвимость из январского Microsoft Patch Tuesday:

🔻 RCE - Microsoft SharePoint (CVE-2026-20963). Уязвимость сначала считалась менее опасной из-за требования аутентификации PR:L, но после пересмотра Microsoft выяснилось, что аутентификация для эксплуатации не нужна PR:N. Уязвимость добавили в CISA KEV, а значит злоумышленники уже эксплуатируют её в реальных атаках. Публичных эксплоитов пока нет.

🟥 Полный список трендовых уязвимостей смотрите на портале