уязвимости

Тамошних ИБ-экспертов и широкую чиновничью публику продолжает колбасить на тему Claude Mythos. Одни нагоняют жути и твердят «все пропало, мы все умрем», другие обвиняют Anthropic в пиаре своей модели, которая не такая уж и крутая. Правда, как обычно, где-то посередине. Подсобрал тут несколько совершенно разных оценок по теме.

Про Exposure Management я уже писал не раз. Сразу надо сказать, что, когда упоминаются решения класса CTEM или EAP, это всего лишь верхушка айсберга, часть, связанная с автоматизацией. Но на самом деле управление площадью атаки – это процесс, который должен быть внедрен и оценен. Та же история и с управлением уязвимостями, которое часто воспринимается через […

ЦБ методические рекомендации (МР-2) по тому, как проводить анализ защищенности и тесты на проникновение. Я всегда за любые документы, которые повышают реальный уровень защищенности организаций или помогают снижать последствия от инцидентов. Однако к видению ЦБ у меня есть определенные вопросы. Особенно учитывая, что при формальном статусе методички

По итогам 2023 года был зафиксирован новый рекорд — почти 29 000 зарегистрированных уязвимостей, имеющих свой номер в базе CVE. Это практически на 4000 уязвимостей больше, чем в прошлом году, и число это с каждым годом лишь увеличивается. При этом считается, что на одну зарегистрированную в базе CVE уязвимость приходится не менее трех незарегистрированных — […

Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет —

Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как […

В мире, если верить американцам, существует 4 основных источника киберугроз — Китай, Россия, Северная Корея и Иран. По крайней мере для прогрессивной демократии. И вроде как, следуя поговорке «враг моего врага мне друг», эти страны, исключая Россию, не должна атаковать нас, фокусируясь целиком на Европе и США. Но нет…

Раз уж вчера я обозрел один отчет сокращающей свой персонал HackerOne, то сегодня решил обратить свое внимание на другой их отчет; мало ли, вдруг больше ничего не выпустят. Новый посвящен достаточно интересному и новому понятию — «сопротивляемость атакам» (attack resistance). HackerOne его ввел непросто так —

Компания HackerOne, которая на днях объявила о сокращении 12% своего персонала из-за экономической рецессии, успела выпустить с обзором деятельности легальных хакеров и там на мой взгляд нашлось немало интересных фактов и выводов, которые мне и хотелось бы подсветить в заметке. Во-первых,  92% белых хакеров в 2022-м году смогли найти уязвимости, которых не находили сканеры безопасности!

В Telegram-канале «Кибервойна» вчера появилась про атаки на web-сайты под управлением Битрикс, в которой был задан сакраментальный и риторический одновременно вопрос. Если ФСТЭК рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе (например, и ), РКН расследует факты