Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО. Начал с определения уязвимости, типов уязвимостей, прошёлся по своим примерам и указал, с чем играться дальше: VulnHub с Metasploitable 1-2-3, Vulhub, OWASP Juice Shop. Эксплуатация уязвимостей не в фокусе курса, но её важно попробовать. 👾

Затем жизненный цикл уязвимости, инструменты детектирования по карте вендоров, CVE-шки, пока ещё MITRE CVE Org, NIST NVD, БДУ ФСТЭК. Чтобы понимать, какие данные есть в паблике. 🕵️‍♂️

🎯 Подробно про CVSS v3.1 и CVSS 4. Первый - для методики ФСТЭК, второй - для международки. Практическая работа по составлению CVSS векторов и сравнению их с готовыми из NVD/БДУ. Чтобы понять, как мало мы знаем про уязвимости и насколько субъективны оценки критичности. 😉

Бонусом рассказал про приоритизацию уязвимостей с помощью Vulristics по материалам последнего PHDays.

Следующая лекция через неделю - про детектирование. 😇

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО. Давненько у меня не было такого волнительного начала сентября. Во-первых, доченька пошла в первый класс. 💐😇 Во-вторых, в этом учебном году стартует моя давняя задумка - семестровый университетский курс по Vulnerability Management. 🚀

VM-курс читается в рамках онлайн-магистратуры ИТМО "Кибербезопасность" - совместный проект с Positive Technologies. 🎓 Магистратура полноценная: 2 года обучения, диплом гособразца, очная форма, отсрочка.

В VM-курсе 6 лекций:

1️⃣ Уязвимости и их описание ✳️
2️⃣ Автоматизированное детектирование известных уязвимостей ✳️
3️⃣ Управление активами
4️⃣ Процесс VM в терминах РКБ
5️⃣ Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками ✳️
6️⃣ Практическая реализация процессов

Лекции со звёздочкой ✳️ читаю я, а остальные Олег Кочетов. Также будут практические и лабораторные работы. 👨‍💻😉