Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program)

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program). 👎 В рамках программы вендоры получают ранний доступ к информации об уязвимостях, которые будут исправлены в Microsoft Patch Tuesday. Иногда MS предоставляют даже PoC-и эксплоитов. 🛠

Эта информация нужна ИБ-вендорам для оперативной разработки правил детектирования и блокирования эксплуатации уязвимостей.

❓ Есть мнение, что Microsoft так наказывает китайские компании за слив информации об уязвимости SharePoint ToolShell. Но подтверждений этому нет. 🤷‍♂️

Помнится, MS зачищали MAPP от российских компаний примерно так же бездоказательно. 🌝

➡️ Если Microsoft считает российских и китайских ИБ-вендоров неблагонадежными, зачем исследователи, работающие в этих вендорах, продолжают репортить уязвимости в Microsoft? 🤔 Как по мне, эту "игру в одни ворота" 🥅 давно пора пересмотреть в сторону централизованного репортинга уязвимостей. 😉

Детектировать нужно все уязвимости!

Добавить комментарий

Детектировать нужно все уязвимости! Частенько натыкаюсь на мнение, что основательный подход к построению VM процесса, например по БОСПУУ, приведёт к тому, что продетектированных в организации уязвимостей будет слишком много, "IT с такими объёмами не справится". А раз так, то не стоит и начинать. 🫠

Мой ответ на это:

🔻 Прежде всего следует поставить вопрос, почему устранять уязвимости (~обновлять системы) является настолько мучительной задачей для IT. Скорее всего, это свидетельство архитектурных проблем, препятствующих внедрению базовых процессов кибергигиены. Невозможность устранять уязвимости - только следствие. 🌝

🔻 Выявлять нужно все уязвимости, но устранять их следует приоритизированно. В первую очередь следует устранять уязвимости, эксплуатация которых наиболее проста и выгодна злоумышленникам. А как это понять? Для этого, по-хорошему, необходимо формировать потенциальные пути атак (attack paths), производить их оценку и приоритизацию. И для этого есть решения. 😉

🔥 Лайв-канал: самые свежие VM-ные новости

Добавить комментарий

🔥 Лайв-канал: самые свежие VM-ные новости. Вы могли заметить, что количество постов в @avleonovlive значительно возросло за последние несколько дней (было от 8 до 19 постов в день). Скорость реагирования на VM-ные новости (уязвимости, ресёрчи, дискуссии, фичи вендоров) и полнота их освещения также возросла. Уже похоже на полноценный новостной ИБ-канал а-ля Секатор. 😇

Собираюсь продолжать в том же духе. Естественно, чтобы справляться с такими объёмами, я буду пользоваться обработкой текста нейросеточками (как и другие авторы ИБ-каналов 😅🤷‍♂️🤫). Но нейросеточки уже достаточно хорошо переводят и делают выжимки, чтобы выкладывать результат можно было практически as is. Я стараюсь отлавливать ошибки и неточности при вычитке. Но если заметите - пишите в комментарии @avleonovlive или личку.

Основной канал @avleonovrus остаётся для низкочастотного постинга "ручного" контента, зачастую по материалам, выложенным ранее в @avleonovlive.

Для MAX вышел официальный клиент под Linux

Добавить комментарий

Для MAX вышел официальный клиент под Linux. 👍 Доступен в виде deb пакета и AppImage.

Как и предполагалось, пока это не нативное Linux-приложение, а PWA-шка. 😔🙄🙂 Поэтому выглядит ровно как веб-версия, но в отдельном окошке. В списке сессий отображается как "Max WEB". Работает шустро. Но функционально этот Linux/Web-клиент несколько ограничен: например, некоторые старые сообщения я смог удалить только в Android-приложении. 🤷‍♂️

🔐 На днях разработчики MAX-а дали комментарии КиберСачку по поводу "неприватности". Я уже высказывался месяц назад, что это чушь и дешёвые вбросы. Нагоняют жути ради хайпа и копеечки. MAX ничем в плане разрешений не отличается от других мессенджеров:

"Мессенджер запрашивает не больше, чем любые другие. Цифры показывают наглядно: WhatsApp просит 85 разрешений, Telegram — 71, а MAX — 63".

А то, что код обфусцирован, так никто облегчать жизнь ресёрчерам не обещал. Особенно тем, у кого умыслы злые. 😈 Eсли есть чего, несите на Bug Bounty. 😉

Подглядывает ли за вами мессенджер MAX? Сейчас по телеге понесли вброс, что мессенджер MAX под Windows раз в 5-10 минут делает фотографии с вебки

Добавить комментарий

Подглядывает ли за вами мессенджер MAX? Сейчас по телеге понесли вброс, что мессенджер MAX под Windows раз в 5-10 минут делает фотографии с вебки. Дескать на это ругается домашний антивирус Kaspersky. 🤬 Оказалось, что в конце прошлого года пользователи Kaspersky уже жаловались на ошибочные нотификации "Приложение> использует камеру". Похоже, это всё тот же баг. Я верю разработчикам MAX, что сами они камеру не включают. 🙏

Но вопрос шире: можно ли гарантировать, что на вашем десктопе (ноутбуке, планшете, телефоне) ни одно приложение, включая саму ОС, не активирует камеру в фоне? Имхо, нет. 🙂 Есть множество программных способов это делать. Даже обходя светодиодик. А уж вендоры устройств и ОС вообще ничем не ограничены. Особенно, если государство это санкционировало. 😉

Если в подключенном к Интернет устройстве есть камера, следует исходить из того, что она всё пишет в фоне и куда-то сливает. 📹 Если вас это не устраивает, заклеивайте камеру.

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV

Добавить комментарий

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV. На это можно возразить: ну допустим, сроки устранения будут определены, как сделать так, чтобы в эти сроки укладывались? 🤔

Американцы решили эту проблему для инфраструктуры федеральных агентств с помощью системы, описанной в директиве CISA BOD 23-01. Я разбирал её года 1,5 назад. Она предусматривает

🔹 еженедельное обнаружение активов в инфраструктуре;

🔹 циклические двухнедельные сканы активов на уязвимости;

🔹 оперативную передачу информации об активах, уязвимостях и процессе сканирования регулятору.

Это позволяет регулятору отслеживать актуальное состояние инфраструктуры органа/организации и оперативно проводить необходимые стимуляции. 🥕

Имхо, перенимать можно практически 1 в 1. 😉

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT

Добавить комментарий

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT. 🎉

🔹 Organisation of Islamic Cooperation (OIC) является самой крупной и наиболее влиятельной официальной правительственной мусульманской международной организацией. В настоящее время объединяет 57 стран с населением около 2 млрд человек. Россия тоже входит в OIC в качестве наблюдателя.

🔹 OIC-CERT - группа реагирования на компьютерные инциденты, являющаяся дочерней организацией OIC. В неё входят национальные CERT-ы 27 стран, а также 8 коммерческих организаций, среди которых Positive Technologies.

➡️ Собственно в разделе, посвящённом результатам работы Positive Technologies, и была опубликована подготовленная мной статистика по трендовым уязвимостям за 2024 год (отчёт на 67,49M, стр 229).

Весьма рад, что получилось внести небольшой вклад в повышение осведомленности о PT ESC и Positive Technologies среди национальных CERT-ов и важных decision maker-ов! 😉

Александр В. Леонов

Управление Уязвимостями и прочее

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program)

Детектировать нужно все уязвимости!

🔥 Лайв-канал: самые свежие VM-ные новости

Для MAX вышел официальный клиент под Linux

Подглядывает ли за вами мессенджер MAX? Сейчас по телеге понесли вброс, что мессенджер MAX под Windows раз в 5-10 минут делает фотографии с вебки

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT