Архив метки: КИИ

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ

Добавить комментарий

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ. Трагикомедия в 4 действиях. 🤦‍♂️

"Компания содержит несколько предприятий. Все они подключены к единой сети передачи данных.

✉️ Злоумышленник с использованием фишингового сообщения проникает в корпоративную сеть, захватывает домен и с высокими привилегиями начинает контролировать и изучать её.

🔍 Быстро находит, что из сегмента одного из предприятий в домене заведена учётная запись, само название которой говорит о том, что в отношении информационных ресурсов предприятия проводится так называемое «тестирование на проникновение». 😏

🏴‍☠️ Поскольку он имеет возможность перехватить права этой учётной записи, далее уже под её флагом осуществляет безуликовую разведку внутри сети. 🥷

❌ Но через какое-то время эту деятельность прекращает, зашифровывает основные ресурсы. То ли после выгрузки основных данных потерял интерес к сети, то ли решил, что может быть обнаружен, и нанёс ущерб."

Алексей Владимирович Иванов, зам

Добавить комментарий

Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

Добавить комментарий

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми. Заведено >600 дел по 13.12.1 и 19.7.15 КоАП.

Среди типовых недостатков указали "непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах КИИ".

Имхо, формулировать это в терминах VM-процесса (нарушение сроков по детектированию, SLA на устранение и т.п.) было бы лучше, но внимание к теме в любом случае радует. 👍😇

Отдельно подчеркнули VM-ные проблемы:

🔻 Отсутствие процесса инвентаризации сведений о ЗОКИИ → лишнее ПО, создающее угрозы ИБ.
🔻 Использование зарубежного ПО без поддержки вендором.
🔻 Недооценка уязвимостей в соответствии с руководством ФСТЭК по организации VM-процесса.
🔻 Низкая периодичность выявления уязвимостей ("1 раз в год").

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM)

Добавить комментарий

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM)

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM). По сравнению с приказом № 196 (06.05.2019), требования стали яснее и лаконичнее. 👍

Решение должно реализовывать (п.13) "сбор и обработку сведений об уязвимостях и недостатках в настройке ПО, а также справочной информации", обработку этой информации и формирование рекомендаций по минимизации угроз.

Помимо уязвимостей и мисконфигов необходимо собирать (п.14) инфу об инструментах атак, тактиках и техниках, малварях, IOC-и, репутацию IP/доменов/адресов email, C&C и ботнетах и т.д. Все сведения должны (п.15) агрегироваться, коррелироваться и визуализироваться в форме графов.

Есть требования к поддержке актуальности данных и возможности интеграций.

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет!

Добавить комментарий

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет!

Раньше в положении о НКЦКИ не было ничего про уязвимости - а теперь будет! Был опубликован приказ ФСБ России от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366».

Среди прочего, он добавляет такой пункт:

"5. В целях выполнения предусмотренных настоящим Положением задачи и функций НКЦКИ в пределах своей компетенции имеет право:

5.9. Запрашивать для выполнения задачи и осуществления функций НКЦКИ у субъектов критической информационной инфраструктуры, центров ГосСОПКА и органов (организаций) результаты проведенных мероприятий, направленных на защиту от компьютерных атак в отношении принадлежащих им информационных ресурсов Российской Федерации, а также информацию об устранении уязвимостей информационных ресурсов Российской Федерации."

Похоже, планируют стимулировать устранение уязвимостей, и это не может не радовать. 🙂👍

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV

Добавить комментарий

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV. На это можно возразить: ну допустим, сроки устранения будут определены, как сделать так, чтобы в эти сроки укладывались? 🤔

Американцы решили эту проблему для инфраструктуры федеральных агентств с помощью системы, описанной в директиве CISA BOD 23-01. Я разбирал её года 1,5 назад. Она предусматривает

🔹 еженедельное обнаружение активов в инфраструктуре;

🔹 циклические двухнедельные сканы активов на уязвимости;

🔹 оперативную передачу информации об активах, уязвимостях и процессе сканирования регулятору.

Это позволяет регулятору отслеживать актуальное состояние инфраструктуры органа/организации и оперативно проводить необходимые стимуляции. 🥕

Имхо, перенимать можно практически 1 в 1. 😉

Не пора ли создать российский аналог CISA KEV?

Добавить комментарий

Не пора ли создать российский аналог CISA KEV?

Не пора ли создать российский аналог CISA KEV? Я, конечно, не в курсе технических подробностей недавних инцидентов в крупных отечественных компаниях, но что-то подсказывает, что без эксплуатации известных критичных уязвимостей, незапатченных своевременно, там не обошлось.

Можно, конечно, говорить, что пострадавшие организации сами виноваты. Им дали базу уязвимостей, методику оценки критичности уязвимостей, руководство по построению VM-процесса. Могли бы делать, как написано, и эксплуатабельные уязвимости устранялись бы. Или, как минимум, могли бы обращать внимание на трендовые уязвимости от PT. Но, похоже, организации не тянут это без директивной стимуляции. 🤷‍♂️

Как CISA ставит федеральным агентствам США чёткие дедлайны по устранению конкретных особо критичных уязвимостей, эксплуатация которых была подтверждена, так и наши регуляторы могли бы ставить аналогичные дедлайны. Хотя бы для организаций, на которые распространяется 117-й приказ и для КИИ.