Kaspersky официально анонсировали своё Vulnerability Management решение

Kaspersky официально анонсировали своё Vulnerability Management решение. Это произошло вчера на Kaspersky Industrial Cybersecurity Conference 2025 (🎞 запись трансляции с 3:56:06). Новый VM-продукт станет частью Open Single Management Platform. Заявлено агентское и безагентское сканирование ("white-box"/"black-box"), своя база уязвимостей для Windows и Linux. Ожидается бета-версия в Q4 2025 и MVP в Q3 2026.

Как видно на упрощённой схеме, инвентаризация активов будет производиться либо через Win/Lin агенты KES (Kaspersky Endpoint Security) 🖥, либо через скан сети 🌐. Загадочная пунктирная стрелка от агентов к "скану сети" ➡️ агенты тоже будут сканировать сетевое окружение? 🤔

🤖 Основная фишка - возможность "автохакинга" с использованием мультиагентной GenAI-системы Сбера. Показали прикольную демку. 👍

На текущей стадии напоминает переработку функциональности детектирования уязвимостей из KSC. Хочется надеяться, что качество детектирования значительно улучшили. 🌝🙏

Что такое Управление Экспозициями (Exposure Management)?

Добавить комментарий

Что такое Управление Экспозициями (Exposure Management)? Если мы определили экспозиции (exposures) как "уязвимости в широком смысле", то и управление экспозициями можно определить по аналогии с управлением уязвимостями.

"Управление экспозициями - процесс выявления и приоритизированного устранения экспозиций."

🔍 Настоящее решение по управлению экспозициями (EM), а не обычный VM/RBVM названный так ради хайпа, должно определять не только уязвимости ПО (CVE/БДУ), но и мисконфигурации, излишние права доступа, слабые пароли, избыточную сетевую связность и т.д. Всё, что может эксплуатировать злоумышленник в ходе атаки.

🗺 Эффективная приоритизация экспозиций невозможна без понимания их взаимосвязи. Ключевой функциональностью этого класса решений становится построение и анализ путей атак (attack paths). Кстати, это транслирует и Tenable в своей "Модели зрелости управления экспозициями" (особенно на уровне 5) и в отчёте Exposure Management Leadership Council.

В мессенджере MAX появилась возможность выставить пароль для доступа к аккаунту

Добавить комментарий

В мессенджере MAX появилась возможность выставить пароль для доступа к аккаунту. Помнится, в апреле, когда вышло публичная бета-версия мессенджера, отсутствие пароля для аутентификации указывали как существенный недостаток безопасности. Дескать, если злодеи перевыпустят SIM-карту или как-то выведают SMS-код, это будет означать гарантированную компрометацию аккаунта MAX. Я тогда в дискуссии соглашался, что отсутствие второго фактора в виде пароля это скверно, но нужно немного подождать и эта функциональность неизбежно будет реализована. Так как этот проект государственной важности, к которому будут привлечены лучшие российские ИБ-специалисты.

Так и получилось. В MAX появилась возможность задавать облачный пароль. Восстановление пароля возможно по привязанному email-адресу. Так что теперь злоумышленникам для доступа к аккаунту нужно будет не только перехватить SMS-код, но и узнать пароль или скомпрометировать почту. Что гораздо сложнее. 👍 Установите пароль себе и близким!

Прочитал вчера вторую лекцию "Детектирование известных уязвимостей" в рамках магистерской программы ИТМО

Добавить комментарий

Прочитал вчера вторую лекцию "Детектирование известных уязвимостей" в рамках магистерской программы ИТМО.

🔹 Разобрали сканирование в режиме "чёрного ящика" по версиям. Сначала показал, как это делать совсем вручную поиском по CPE на сайте NVD. Потом как получить CPE с помощью Nmap и telnet. И наконец как использовать плагин Vulners для Nmap.

🔹Сканирование в режиме "чёрного ящика" с эксплуатацией уязвимости разобрали на примере XSS уязвимости из прошлой лекции.

🔹 Сканирование с аутентификацией разобрали на примере детектирования уязвимостей пакетов Linux хоста. Как делать это вручную по бюллетеням, с помощью ручного Vulners Linux Audit и автоматических утилит Scanvus, OpenSCAP и ScanOVAL. Подробно остановились на структуре OVAL-контента.

💻 Выдал две практические работы: на детектирование / эксплуатацию уязвимости и на написание правил детектирования на языке OVAL.

В середине октября будет моя последняя лекция - про регуляторику. 😇

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Добавить комментарий

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks. Это будет бесплатный митап с техническими докладами и неформальным нетворкингом для практикующих экспертов, энтузиастов и ̶х̶а̶к̶ оффенсив-специалистов. 😉 Проходить он будет с 14:00 до 23:00 в Пространстве ВЕСНА (это лофт у метро Красносельская/Бауманская).

До 26 сентября идёт Call For Papers. "Темы могут быть самыми разными: offensive и defensive security, исследования уязвимостей, багбаунти, кейсы из SOC, автоматизация и DevSecOps, AI и ML в ИБ, управление безопасностью и т.п." Я отдельно спрашивал про Vulnerability Management - тоже можно. 👍

Формат интересный, подумываю податься на CFP или сходить как слушатель. 🙂

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Добавить комментарий

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server. Традиционная ежемесячная подборка. И первая подборка БЕЗ уязвимостей в продуктах Microsoft! 😲🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего восемь идентификаторов трендовых уязвимостей в четырёх продуктах:

🔻 Remote Code Execution - WinRAR (CVE-2025-6218, CVE-2025-8088). Эксплуатируемая RCE при распаковке архивов.
🔻 Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). Эксплуатируемая RCE в компоненте популярной ERP-системы.
🔻 Remote Code Execution - 7-Zip (CVE-2025-55188). Преимущественно Linux-овая RCE при распаковке архивов, есть публичный эксплойт.
🔻 Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). Критичные уязвимости популярной российской ВКС.

Если вы заметили, что вашего вендора нет на карте Средств Управления Уязвимостями (в широком смысле), а он обязательно там должен быть в какой-то категории, или что описание продуктов требует обновления - напишите мне! 🙂

Добавить комментарий

Если вы заметили, что вашего вендора нет на карте Средств Управления Уязвимостями (в широком смысле), а он обязательно там должен быть в какой-то категории, или что описание продуктов требует обновления - напишите мне! 🙂 Возможно, кто-то думает, что я каких-то VA/VM/EASM/DAST/SAST/… вендоров не добавляю на карту из-за каких-то предубеждений. Это не так. Я добавляю всех, чьи решения формально попадают под описание категорий и кто не против быть на карте. Если решения какого-то вендора сейчас не представлены, исправить это очень просто - достаточно написать мне в личку @leonov_av. Идеально, если сразу с логотипом вендора в формате SVG, указанием категории и нейтральным описанием продукта. 🙏 Естественно, это всё бесплатно. 🆓

Пока в планах заменить логотип RedCheck, переименовать FACCT в F6, добавить в Vulns io в СИУ, МТС заменить на Cicada8 и добавить в СДУИ.

По срокам релиза не загадываю, но точно до конца года и до иссякания потока правок.

Закиньте своим PR-щикам и маркетологам! 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Kaspersky официально анонсировали своё Vulnerability Management решение

Что такое Управление Экспозициями (Exposure Management)?

В мессенджере MAX появилась возможность выставить пароль для доступа к аккаунту

Прочитал вчера вторую лекцию "Детектирование известных уязвимостей" в рамках магистерской программы ИТМО

Коллеги из Standoff 365 организуют 16 октября мероприятие Standoff Talks

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server