Архив метки: VMprocess

Алексей Владимирович Иванов, зам

Добавить комментарий

Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Добавить комментарий

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными людьми (которые могут вам всё засаботировать 😏).

Особо понравилось про безусловный патчинг:

"Бонус-трек: Начните, наконец, обновлять операционные системы и используемые приложения. У вас никогда, повторюсь, НИКОГДА не будет достаточно ресурсов, чтобы доказать применимость каждой уязвимости в конкретных условиях вашего окружения. Нет другого решения для большинства компаний, кроме как начать регулярно проводить обновления для ВСЕХ ОС и для всех приложений. Позднее вы, вероятно, начнёте категорировать ваши активы по критичности и управлять приоритетами обновления, но для начала ̶п̶р̶о̶с̶т̶о̶ ̶д̶о̶б̶а̶в̶ь̶ ̶в̶о̶д̶ы̶ примените патчи."

ППКС. Всеми силами внедряйте безусловный патчинг, не играйте в докажи-покажи. 😉

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

Добавить комментарий

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми. Заведено >600 дел по 13.12.1 и 19.7.15 КоАП.

Среди типовых недостатков указали "непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах КИИ".

Имхо, формулировать это в терминах VM-процесса (нарушение сроков по детектированию, SLA на устранение и т.п.) было бы лучше, но внимание к теме в любом случае радует. 👍😇

Отдельно подчеркнули VM-ные проблемы:

🔻 Отсутствие процесса инвентаризации сведений о ЗОКИИ → лишнее ПО, создающее угрозы ИБ.
🔻 Использование зарубежного ПО без поддержки вендором.
🔻 Недооценка уязвимостей в соответствии с руководством ФСТЭК по организации VM-процесса.
🔻 Низкая периодичность выявления уязвимостей ("1 раз в год").

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ)

Добавить комментарий

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ)

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ). Если провести детектирование уязвимостей в любой достаточно большой организации, неизбежно обнаружатся критические уязвимости. И это абсолютно нормально, ЕСЛИ для всех обнаруженных уязвимостей выполняются следующие условия:

🔹 В организации уже знали про уязвимость на активе, т.е. обнаруживали её с помощью собственных средств детектирования.
🔹 Уязвимость уже была оценена и ей была присвоена степень критичности.
🔹 Для устранения уязвимости уже была заведена задача на конкретного исполнителя с зафиксированным сроком выполнения (в соответствии с принятым SLA) и этот срок ещё не вышел.

Это значит, что VM-процесс в организации успешно функционирует (по БОСПУУ 😉), и АЗ успешно пройден. 🥇👏

Но если в ходе АЗ были обнаружены уязвимости, для которых перечисленные условия НЕ выполняются, это вызывает вопросы к средствам детектирования уязвимостей, используемым в организации, и к практикам их использования. 😏

Я являюсь большим сторонником использования статьи 274.1 УК РФ (ч.3 нарушение правил эксплуатации КИИ) в качестве ультимативного аргумента в разговорах об устранении уязвимостей инфраструктуры

Добавить комментарий

Я являюсь большим сторонником использования статьи 274.1 УК РФ (ч.3 нарушение правил эксплуатации КИИ) в качестве ультимативного аргумента в разговорах об устранении уязвимостей инфраструктуры

Я являюсь большим сторонником использования статьи 274.1 УК РФ (ч.3 нарушение правил эксплуатации КИИ) в качестве ультимативного аргумента в разговорах об устранении уязвимостей инфраструктуры. Не стоит начинать любой разговор с "давай быстро патчься, а то посадят 😡". Достаточно ненавязчиво упомянуть, что такая статья существует. И зачем под этой статьёй ходить, если можно пропатчиться и спать спокойно. 🤷‍♂️😉

Эту статью хотят обновить:

🔹 Довольно размытый "вред КИИ" хотят уточнить как "уничтожение, блокирование, модификация или копирование информации в КИИ".

🔹 Добавят освобождение от уголовной ответственности, тем, кто "активно способствовал раскрытию и расследованию преступления". Возможно, в том числе тем, кто первый расскажет про грешки коллег. 😉

🔹 Добавят аналогичную статью в КоАП РФ, если нарушение не содержит признаков преступления. Будут штрафовать граждан от 5 до 10 тыс. р., должностных лиц от 10 до 50 тыс. р., юрлица от 100 до 500 тыс. р.

Если отвлечься от недавно принятой методики и поразмышлять, каким образом следовало бы определять успешность прохождения Анализа Защищённости (АЗ)?

Добавить комментарий

Если отвлечься от недавно принятой методики и поразмышлять, каким образом следовало бы определять успешность прохождения Анализа Защищённости (АЗ)?

Если отвлечься от недавно принятой методики и поразмышлять, каким образом следовало бы определять успешность прохождения Анализа Защищённости (АЗ)? Понимая под АЗ детектирование уязвимостей в инфраструктуре организации третьей стороной. Для исполнителя критерии успеха: найти максимум уязвимостей с минимумом FP и FN. А для заказчика? 🤔 Обычно для него успехом считают отсутствие обнаруженных критичных уязвимостей. А если такие есть - их нужно срочно устранить или доказать, что они некритичные. 👌

Однако организациям без работающего VM-процесса такое разовое латание дыр не особо поможет - через полгода в инфре снова будет адище. 😈 А организациям с работающим VM-процессом требование устранять уязвимости в пожарном режиме, игнорируя SLA по существующим задачам на устранение, внесёт неразбериху и может сломать VM-процесс. 🤷‍♂️

Имхо, по-хорошему, АЗ должен проверять не текущее состояние инфры (постоянно меняющееся), а состояние VM-процесса. С соответствующими критериями успеха. 😉

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями

Добавить комментарий

Полуторачасовой разговор про Трендовые Уязвимости 2025 года и Управление Уязвимостями. Интервьюер - Павел Хавский. Это для тех, кому краткого резюме на 8 минут мало и хочется больше деталей. 🙂 По контенту это моя презентация для Код ИБ обновлённая по состоянию на 23 декабря, т.е. там всё, кроме MongoBleed. Также Павел вкидывал вопросы 💬 на около-VM-ные темы, на которые я старался, по мере сил, отвечать. 😅

00:00 Приветствие и знакомство
04:00 Ускоряющийся рост количества уязвимостей в NVD и связанные с этим проблемы
06:06 Что такое трендовые уязвимости и зачем мы их выделяем в Positive Technologies
07:56 💬 Может, массовое заведение уязвимостей в NVD делается намеренно, чтобы в них было сложнее искать то, что на самом деле важно?
14:54 Итоги 2025 года: 65 трендовых уязвимостей и где их можно посмотреть
19:05 Типы уязвимостей
19:25 Наличие эксплоитов и признаков эксплуатации
20:33 💬 Трендовые уязвимости в отечественном ПО: почему их больше, чем в прошлом году?
24:08 💬 Плохая работа TrueConf может быть связана с этими трендовыми уязвимостями?
25:42 Трендовые уязвимости Microsoft (47%)
28:37 Трендовые уязвимости, используемые в фишинговых атаках
29:36 Трендовые уязвимости Linux
30:10 💬 Стоит ли переходить на отечественные ОС на базе Linux и есть ли к ним доверие?
38:40 Трендовые уязвимости в библиотеках и фреймворках
40:50 Трендовые уязвимости сетевых устройств
42:16 Трендовые уязвимости, связанные с разработкой ПО
42:38 Трендовые уязвимости виртуализации и контейнеризации
43:00 Трендовые уязвимости ERP-систем
43:36 ТОП Трендовых: ToolShell и атаки на ядерные организации США
46:39 💬 Почему большие организации уязвимы и нужно ли пушить безопасность регуляторами?
52:10 💬 Мотивация VM-специалистов: энтузиазм или бюджет?
56:46 ТОП Трендовых: уязвимость-вспышка React2Shell
01:00:33 ТОП Трендовых: Эксплуатируемая уязвимость CommuniGate и качество детектирования уязвимостей
01:01:36 ТОП Трендовых: Уязвимость Apache HTTP Server и отслеживание EoL
01:03:56 ТОП Трендовых: Уязвимость Erlang/OTP
01:05:01 ТОП Трендовых: Уязвимости Windows для фишинга (1,2)
01:07:29 Прогноз на 2026: то же, но хуже
01:16:58 💬 Про карьеру в Vulnerability Management
01:24:06 💬 Новогодние пожелания

Видео, которое я выкладываю - согласованный перезалив на мой канал VK Видео. Я немного перемонтировал ролик, сделав больший акцент на слайдах, и поменял таймстемпы. Оригинальное видео на Youtube можно найти в этом посте.