уязвимости

По итогам 2023 года был зафиксирован новый рекорд — почти 29 000 зарегистрированных уязвимостей, имеющих свой номер в базе CVE. Это практически на 4000 уязвимостей больше, чем в прошлом году, и число это с каждым годом лишь увеличивается. При этом считается, что на одну зарегистрированную в базе CVE уязвимость приходится не менее трех незарегистрированных — […

Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет —

Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как […

В мире, если верить американцам, существует 4 основных источника киберугроз — Китай, Россия, Северная Корея и Иран. По крайней мере для прогрессивной демократии. И вроде как, следуя поговорке «враг моего врага мне друг», эти страны, исключая Россию, не должна атаковать нас, фокусируясь целиком на Европе и США. Но нет…

Раз уж вчера я обозрел один отчет сокращающей свой персонал HackerOne, то сегодня решил обратить свое внимание на другой их отчет; мало ли, вдруг больше ничего не выпустят. Новый посвящен достаточно интересному и новому понятию — «сопротивляемость атакам» (attack resistance). HackerOne его ввел непросто так —

Компания HackerOne, которая на днях объявила о сокращении 12% своего персонала из-за экономической рецессии, успела выпустить с обзором деятельности легальных хакеров и там на мой взгляд нашлось немало интересных фактов и выводов, которые мне и хотелось бы подсветить в заметке. Во-первых,  92% белых хакеров в 2022-м году смогли найти уязвимости, которых не находили сканеры безопасности!

В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты

На портале правовой информации приказ ФСБ от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям)

Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […

Кто более-менее внимательно следит за моим блогом (хотя в последнее время из-за загрузки на работе я его немного и подзапустил, но я исправлюсь), тот помнит, что к теме Bug Bounty я обращался неоднократно (👇🏻 вы найдете список заметок, где я про это писал) и первый раз это было еще в 2013-м году. И вот снова, […]