Архив рубрики: Темы

Прочитал статью "NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST"

Добавить комментарий

Прочитал статью NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST

Прочитал статью "NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST". Очередная рефлексия на статью CYBERSECURITY DIVE про то, что у NIST-а лапки. 🙂 Имхо, ключевой тезис в статье R-Vision вот этот:

"Для нас качество базы измеряется не количеством CVE, а:

- скоростью реакции;
- полнотой покрытия реальных технологий;
- способностью адаптации под инфраструктуры заказчиков."

С одной стороны, соглашусь, что простое покрытие CVE-шек в текущей ситуации, когда идентификаторы могут заводиться на мусор, а на критичные уязвимости могут не заводиться, перестаёт быть единственным фактором, определяющим качество детектирования VM-решений. Всё стало сложнее. 💯

Но с другой стороны, сравнение баз VM-решений пересечением наборов CVE-идентификаторов всё ещё позволяет эффективно подсвечивать разницу в ТЕКУЩИХ возможностях детектирования и, при необходимости, обсуждать её с VM-вендорами. 😏 Аналогично можно сравниваться и по БДУ-идентификаторам. 😉

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba

Добавить комментарий

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba. Samba - пакет программ, которые позволяют обращаться по сети к файлам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением под лицензией GPL.

Всего в документе 14 страниц. Требования по настройке приводятся на пяти страницах и сгруппированы по темам:

🔹 Настройка общего доступа
🔹 Расширенные настройки
🔹 Настройки аудита ПО
🔹 Проверка недостатков конфигурации

Требования содержат конкретные параметры, которые необходимо настроить, и команды, которые необходимо выполнить. Значит будет просто разрабатывать проверки на соответствие и скрипты для конфигурирования. 👍

На семи страницах документа представлены перечни:

🔸 Подсистем
🔸 Уровней журналирования
🔸 Значений для команды full_audit:prefix
🔸 Событий, фиксируемых командами full_audit:success и full_audit:failure
🔸 Типов приоритета

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ

Добавить комментарий

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ. Трагикомедия в 4 действиях. 🤦‍♂️

"Компания содержит несколько предприятий. Все они подключены к единой сети передачи данных.

✉️ Злоумышленник с использованием фишингового сообщения проникает в корпоративную сеть, захватывает домен и с высокими привилегиями начинает контролировать и изучать её.

🔍 Быстро находит, что из сегмента одного из предприятий в домене заведена учётная запись, само название которой говорит о том, что в отношении информационных ресурсов предприятия проводится так называемое «тестирование на проникновение». 😏

🏴‍☠️ Поскольку он имеет возможность перехватить права этой учётной записи, далее уже под её флагом осуществляет безуликовую разведку внутри сети. 🥷

❌ Но через какое-то время эту деятельность прекращает, зашифровывает основные ресурсы. То ли после выгрузки основных данных потерял интерес к сети, то ли решил, что может быть обнаружен, и нанёс ущерб."

Алексей Владимирович Иванов, зам

Добавить комментарий

Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции

Добавить комментарий

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции. Я выбрал оттуда всё, что относится к секции "Анализ защищённости", в которой я выступал и которую я модерировал, и добавил ссылки на видеозаписи докладов с VK Видео.

🔹 От вызовов к итогам: МегаФон SOC (слайды, видео). Роман Соловьёв, МегаФон ПроБизнес.

🔹 Трендовые уязвимости 2025 (слайды, видео). Александр Леонов, Telegram-канал "Управление Уязвимостями и прочее".

🔹 А уязвим ли мессенджер? (слайды, видео). Андрей Исхаков, Банк ПСБ.

🔹 Что устранять или как не утонуть в уязвимостях (слайды, видео). Дмитрий Топорков, Альфа-Банк.

🔹 Цена лишнего факта: как неосознанные утечки бьют по прибыли (слайды, видео). Александр Анашин, независимый эксперт.

Видеозапись самой дискуссии (весьма любопытной и оживлённой), к сожалению, не нашёл, только отдельные презентации. 🤷‍♂️

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Добавить комментарий

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными людьми (которые могут вам всё засаботировать 😏).

Особо понравилось про безусловный патчинг:

"Бонус-трек: Начните, наконец, обновлять операционные системы и используемые приложения. У вас никогда, повторюсь, НИКОГДА не будет достаточно ресурсов, чтобы доказать применимость каждой уязвимости в конкретных условиях вашего окружения. Нет другого решения для большинства компаний, кроме как начать регулярно проводить обновления для ВСЕХ ОС и для всех приложений. Позднее вы, вероятно, начнёте категорировать ваши активы по критичности и управлять приоритетами обновления, но для начала ̶п̶р̶о̶с̶т̶о̶ ̶д̶о̶б̶а̶в̶ь̶ ̶в̶о̶д̶ы̶ примените патчи."

ППКС. Всеми силами внедряйте безусловный патчинг, не играйте в докажи-покажи. 😉

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна

Добавить комментарий

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна.

🔹 Безусловно, набирает обороты AI-слоп. Нагенерить и сдать что-то похожее на описание уязвимости (или эксплойт) в надежде получить баунти или просто CVE-идентификатор стало СЛИШКОМ просто. Этим массово пользуются недобросовестные "ресёрчеры", устраивая своеобразные DoS-атаки на вендоров, мейнтейнеров опенсурсных проектов и базы уязвимостей. На днях проект curl завершил из-за этого свою Bug Bounty программу. 🤷‍♂️

🔹 В то же время повышается ценность настоящего ресёрча с помощью AI. Так в OpenSSL 27 января исправили 12 уязвимостей, найденных AI-стартапом AISLE. Google Big Sleep - тоже качественная тема. 🤖

Как мне кажется, будущее ресёрча не за роем ноунеймов с ChatGPT и бесплатными агентами, а за специализированными и хорошо финансируемыми AI-фабриками по производству (фактически) кибероружия.

Давно пора это направление грамотно стимулировать и регулировать. 😉