Архив рубрики: Уязвимость

Посмотрел сегодня вебинар-практикум "Эффективное управление уязвимостями: поверхность атаки и комплаенс" от компании Alpha Systems

Посмотрел сегодня вебинар-практикум "Эффективное управление уязвимостями: поверхность атаки и комплаенс" от компании Alpha Systems. Компания существует три года, у них десятки клиентов.

🖼 Вводную часть построили на сравнении ИБ в компании и здоровья человека: проактивный VM - аналог "чекапа организма". Решение ALPHASENSE SYMBIOTE 3.0 (2.0 было в сентябре) позиционируют как альтернативу сложному, долгому, ограниченному пентесту. Движутся в сторону Continuous Exposure Management.

📺 В части кейсов рассказали про перечисление пользователей в MS OWA, RCE - Apache Struts (CVE-2017-5638). RCE - MS RDP "BlueKeep" (CVE-2019-0708).

🔧 В лайв-демо показали процесс работы VM-аналитика: фильтрацию уязвимостей, переход в карточку уязвимости, изучение информации по уязвимости (есть эксплоиты👍, KEV нет), заведение задачи во встроенной тикетнице, отслеживание устранённых задач. Также показали контроль конфигурации (SCAP-контент, CIS-бенчмарки, ФСТЭК).

➡️ Q&A и роадмап

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей

Добавить комментарий

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей.

Формула расчёта:

"CybVSS = latest_cvss_bs^2 * spread * exploitability * mentions * k_kev, где:

🔹 latest_cvss_bs — базовая оценка CVSS последней версии;
🔹 spread — распространенность (количество хостов, затронутых уязвимостью);
🔹 exploitability — эксплуатируемость (количество эксплойтов);
🔹 mentions — цитируемость (количество постов);
🔹 k_kev — наличие факта эксплуатации уязвимости.

С точки зрения математического анализа, основное внимание уделяется уязвимостям, чье значение CybVSS превышает 100. Такие уязвимости классифицируются как трендовые, что подразумевает их высокую значимость и потенциальную актуальность в контексте потенциальных эксплуатаций злоумышленниками."

Практика расчёта требует уточнения, но выглядит интересно. 👍 И круто, что в паблике. 😉

Выпустил Vulristics 1.0.11: добавил Server-Side Request Forgery (SSRF) как отдельный тип уязвимости

Добавить комментарий

Выпустил Vulristics 1.0.11: добавил Server-Side Request Forgery (SSRF) как отдельный тип уязвимости. Я стараюсь использовать в Vulristics очень небольшое количество базовых типов уязвимостей (около 20) и всё сводить к ним. За небольшим исключением, это те же типы, которые использует Microsoft. И Microsoft не любят SSRF.

SSRF - это уязвимость, при которой злоумышленник может заставить сервер выполнить несанкционированные запросы к внутренним или внешним ресурсам.

Microsoft, как правило, заводят SSRF-ки как EoP, Information Disclosure или RCE. 🤯

Я же SSRF относил к Command Injection, по той логике, что создание запроса можно считать формой выполнения команды. Но, конечно же, это такое себе. 🙄

Поэтому я решил добавить отдельный тип SSRF (с критичностью 0,87), чтобы не заниматься больше мысленной эквилибристикой. 🙂 На иконке я отрисовал наковальню (игра слов с "forge" - кузница). Также залил иконку на avleonov.com, чтобы HTML-отчёты Vulristics корректно отображались.

Сегодня меня спросили: как скачать базу уязвимостей с сайта NVD?

Добавить комментарий

Сегодня меня спросили: как скачать базу уязвимостей с сайта NVD? Если нужны данные из NIST NVD по всем уязвимостям, проще всего скачать архивированные фиды в формате JSON.

Запускаем скрипт:

import requests

BASE = "https://nvd.nist.gov/feeds/json/cve/2.0/"

for year in range(2002, 2027):  # при необходимости расширяем диапазон
    fname = f"nvdcve-2.0-{year}.json.zip"
    url = BASE + fname
    print("Качаю", fname)

    with requests.get(url, stream=True, timeout=300) as r:
        r.raise_for_status()
        with open(fname, "wb") as f:
            for chunk in r.iter_content(8192):
                if chunk:
                    f.write(chunk)

Скрипт пишет:

Качаю nvdcve-2.0-2002.json.zip
...
Качаю nvdcve-2.0-2026.json.zip

И скачивает в текущую директорию zip-архивы с JSON-чиками, которые затем можно обработать по своему усмотрению. 😉

Прочитал статью "NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST"

Добавить комментарий

Прочитал статью "NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST". Очередная рефлексия на статью CYBERSECURITY DIVE про то, что у NIST-а лапки. 🙂 Имхо, ключевой тезис в статье R-Vision вот этот:

"Для нас качество базы измеряется не количеством CVE, а:

- скоростью реакции;
- полнотой покрытия реальных технологий;
- способностью адаптации под инфраструктуры заказчиков."

С одной стороны, соглашусь, что простое покрытие CVE-шек в текущей ситуации, когда идентификаторы могут заводиться на мусор, а на критичные уязвимости могут не заводиться, перестаёт быть единственным фактором, определяющим качество детектирования VM-решений. Всё стало сложнее. 💯

Но с другой стороны, сравнение баз VM-решений пересечением наборов CVE-идентификаторов всё ещё позволяет эффективно подсвечивать разницу в ТЕКУЩИХ возможностях детектирования и, при необходимости, обсуждать её с VM-вендорами. 😏 Аналогично можно сравниваться и по БДУ-идентификаторам. 😉

Алексей Владимирович Иванов, зам

Добавить комментарий

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции

Добавить комментарий

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции. Я выбрал оттуда всё, что относится к секции "Анализ защищённости", в которой я выступал и которую я модерировал, и добавил ссылки на видеозаписи докладов с VK Видео.

🔹 От вызовов к итогам: МегаФон SOC (слайды, видео). Роман Соловьёв, МегаФон ПроБизнес.

🔹 Трендовые уязвимости 2025 (слайды, видео). Александр Леонов, Telegram-канал "Управление Уязвимостями и прочее".

🔹 А уязвим ли мессенджер? (слайды, видео). Андрей Исхаков, Банк ПСБ.

🔹 Что устранять или как не утонуть в уязвимостях (слайды, видео). Дмитрий Топорков, Альфа-Банк.

🔹 Цена лишнего факта: как неосознанные утечки бьют по прибыли (слайды, видео). Александр Анашин, независимый эксперт.

Видеозапись самой дискуссии (весьма любопытной и оживлённой), к сожалению, не нашёл, только отдельные презентации. 🤷‍♂️