Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции

Добавить комментарий

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции. Я выбрал оттуда всё, что относится к секции "Анализ защищённости", в которой я выступал и которую я модерировал, и добавил ссылки на видеозаписи докладов с VK Видео.

🔹 От вызовов к итогам: МегаФон SOC (слайды, видео). Роман Соловьёв, МегаФон ПроБизнес.

🔹 Трендовые уязвимости 2025 (слайды, видео). Александр Леонов, Telegram-канал "Управление Уязвимостями и прочее".

🔹 А уязвим ли мессенджер? (слайды, видео). Андрей Исхаков, Банк ПСБ.

🔹 Что устранять или как не утонуть в уязвимостях (слайды, видео). Дмитрий Топорков, Альфа-Банк.

🔹 Цена лишнего факта: как неосознанные утечки бьют по прибыли (слайды, видео). Александр Анашин, независимый эксперт.

Видеозапись самой дискуссии (весьма любопытной и оживлённой), к сожалению, не нашёл, только отдельные презентации. 🤷‍♂️

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Добавить комментарий

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными людьми (которые могут вам всё засаботировать 😏).

Особо понравилось про безусловный патчинг:

"Бонус-трек: Начните, наконец, обновлять операционные системы и используемые приложения. У вас никогда, повторюсь, НИКОГДА не будет достаточно ресурсов, чтобы доказать применимость каждой уязвимости в конкретных условиях вашего окружения. Нет другого решения для большинства компаний, кроме как начать регулярно проводить обновления для ВСЕХ ОС и для всех приложений. Позднее вы, вероятно, начнёте категорировать ваши активы по критичности и управлять приоритетами обновления, но для начала ̶п̶р̶о̶с̶т̶о̶ ̶д̶о̶б̶а̶в̶ь̶ ̶в̶о̶д̶ы̶ примените патчи."

ППКС. Всеми силами внедряйте безусловный патчинг, не играйте в докажи-покажи. 😉

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна

Добавить комментарий

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна.

🔹 Безусловно, набирает обороты AI-слоп. Нагенерить и сдать что-то похожее на описание уязвимости (или эксплойт) в надежде получить баунти или просто CVE-идентификатор стало СЛИШКОМ просто. Этим массово пользуются недобросовестные "ресёрчеры", устраивая своеобразные DoS-атаки на вендоров, мейнтейнеров опенсурсных проектов и базы уязвимостей. На днях проект curl завершил из-за этого свою Bug Bounty программу. 🤷‍♂️

🔹 В то же время повышается ценность настоящего ресёрча с помощью AI. Так в OpenSSL 27 января исправили 12 уязвимостей, найденных AI-стартапом AISLE. Google Big Sleep - тоже качественная тема. 🤖

Как мне кажется, будущее ресёрча не за роем ноунеймов с ChatGPT и бесплатными агентами, а за специализированными и хорошо финансируемыми AI-фабриками по производству (фактически) кибероружия.

Давно пора это направление грамотно стимулировать и регулировать. 😉

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty

Добавить комментарий

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty. zVirt - отечественная платформа серверной виртуализации от компании Orion soft.

Когда российский вендор выходит на багбаунти - это здорово. 🔥 А когда делится инфой по найденному и устранённому - это вдвойне здорово. 🔥🔥

В посте разбирают пять уязвимостей:

🔻 Blind SSRF с подменой хоста для бэкапов и IDOR
🔻 Open Redirect с угоном аккаунта
🔸 Reflected XSS на главной странице
🔸 Утечка данных о пользователях через API
🔸 Трейсбеки базы данных в ответах API

Для каждой описывают, в чём она заключалась и как была исправлена. 👍

У меня, как у VM-щика, конечно, возник вопрос: а где идентификаторы этих уязвимостей? 🤔 Хотя бы вендорские, но желательно CVE/BDU. Ведь это значительно упрощает ведение базы правил детектирования уязвимостей, их обнаружение и устранение в инфраструктуре.

К сожалению, идентификаторов пока нет. 🤷‍♂️ Но это дело наживное - главное, что уязвимости устраняются. 😉

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

Добавить комментарий

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми. Заведено >600 дел по 13.12.1 и 19.7.15 КоАП.

Среди типовых недостатков указали "непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах КИИ".

Имхо, формулировать это в терминах VM-процесса (нарушение сроков по детектированию, SLA на устранение и т.п.) было бы лучше, но внимание к теме в любом случае радует. 👍😇

Отдельно подчеркнули VM-ные проблемы:

🔻 Отсутствие процесса инвентаризации сведений о ЗОКИИ → лишнее ПО, создающее угрозы ИБ.
🔻 Использование зарубежного ПО без поддержки вендором.
🔻 Недооценка уязвимостей в соответствии с руководством ФСТЭК по организации VM-процесса.
🔻 Низкая периодичность выявления уязвимостей ("1 раз в год").

В российском Форбсе вышла статья о плачевном состоянии инсталляций SAP ERP в отечественных организациях на основе исследования Digital Security

Добавить комментарий

В российском Форбсе вышла статья о плачевном состоянии инсталляций SAP ERP в отечественных организациях на основе исследования Digital Security. Их не защищают "системно и по правилам" и даже пытаются скрывать:

"Многие организации сегодня официально декларируют полный переход на отечественные ERP-платформы, однако реальная картина намного сложнее. Значительная часть промышленных, энергетических компаний, ретейлеров продолжают использовать SAP в качестве критически важной основы своих производственных и финансовых процессов. Более того, нередко этот факт стараются скрывать — как от внешних аудиторов, так и от регуляторов, — констатирует [руководитель направления защиты корпоративных систем Digital Security] Олег Голиков. — Формально компанию можно записать в «импортозаместившие», но внутри нее логистика, закупки, складская аналитика, расчет зарплаты или управление ремонтами продолжают работать на устаревших SAP-модулях". 🤷‍♂️🤦‍♂️

Имхо, давно пора усилить госконтроль за инфрой.