现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Заметки VMщика
前往频道在 Telegram
Творческая лаборатория канала @avleonovrus "Управлением Уязвимостями и прочее". Новости, черновики, мысли, комментарии, немного оффтопа. Личка: @leonov_av
显示更多535
订阅者
无数据24 小时
-17 天
+1130 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+10
在1个频道中
五月 '26
+38
在2个频道中
Get PRO
四月 '26
+18
在1个频道中
Get PRO
三月 '26
+11
在0个频道中
Get PRO
二月 '26
+24
在0个频道中
Get PRO
一月 '26
+16
在1个频道中
Get PRO
十二月 '25
+30
在4个频道中
Get PRO
十一月 '25
+37
在3个频道中
Get PRO
十月 '25
+66
在4个频道中
Get PRO
九月 '25
+64
在3个频道中
Get PRO
八月 '25
+70
在2个频道中
Get PRO
七月 '25
+74
在2个频道中
Get PRO
六月 '250
在1个频道中
Get PRO
五月 '25
+31
在1个频道中
Get PRO
四月 '250
在1个频道中
Get PRO
三月 '25
+157
在1个频道中
Get PRO
二月 '250
在1个频道中
Get PRO
一月 '250
在2个频道中
Get PRO
十二月 '24
+3
在2个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 18 六月 | +4 | |||
| 17 六月 | 0 | |||
| 16 六月 | 0 | |||
| 15 六月 | +1 | |||
| 14 六月 | 0 | |||
| 13 六月 | 0 | |||
| 12 六月 | 0 | |||
| 11 六月 | 0 | |||
| 10 六月 | 0 | |||
| 09 六月 | 0 | |||
| 08 六月 | +1 | |||
| 07 六月 | 0 | |||
| 06 六月 | +1 | |||
| 05 六月 | 0 | |||
| 04 六月 | 0 | |||
| 03 六月 | +1 | |||
| 02 六月 | +1 | |||
| 01 六月 | +1 |
频道帖子
| 2 | Июньский дайджест трендовых уязвимостей по версии Positive Technologies. ⚡️
@avleonovlive | 102 |
| 3 |  ▶️ EPSS v5
Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5.
По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов.
Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени.
#новости #уязвимости @П2Т | 84 |
| 4 | Неоднозначная новость от FIRST которую нужно внимательно осмыслить всем ответственным за управление уязвимостями:
1. С одной стороны прогнозы по количеству уязвимостей на этот год увеличились на 46 процентов до 66000 с шансом достичь рекордных 70000 за год.
2. С другой стороны FIRST заявляет, что количество уязвимостей требующих немедленных действий почти не изменилось. Уязвимости требующие немедленных действий это уязвимости из списка CISA KEV и уязвимости с метрикой EPSS выше 10%.
По моему мнению такая неоднозначность может говорить о трех причинах:
1. CISA KEV и EPSS стали неэффективным способом оценки необходимости патчинга. В пользу этой версии говорят проблемы с финансированием у CISA и ожидающийся новый релиз метрики EPSS.
2. Поток уязвимостей от ИИ и новых организаций уполномоченных на присвоение уязвимостей CNA - резко снизил общий КПД процесса поиска новых уязвимостей и требует радикального пересмотра. Эта версия также может быть поддержана теми кто считает средства ИИ экономически неэффективным.
3. Новые источники уязвимостей (ИИ и CNA) имеют аномальное распределение с почти отсутствующим количеством уязвимостей требующих немедленного патча, но другие найденные уязвимости высокого уровня риска важны для борьбы с продвинутыми атаками.
Также FIRST сформировала 4 лучших практики на основе своего прогноза:
1. Планируйте свой бюджет (на управление уязвимостями) с учётом разнообразия используемого ПО, а не ориентируйтесь на новостные поводы.
2.EPSS и CISA KEV остаются эффективными инструментами для отделения сигнала от шума.
3.Учитывайте в своих планах, что до конца года текущая удвоенная нагрузка на патч менеджмент сохранится.
4. Склоняйтесь к использованию ИИ для нужд защиты. ИИ может вам помочь в снижении среднего времени на поиск и устранение уязвимостей.
По мнению автора сего канала такая ситуация с уязвимостями только формирует новый запрос на квалифицированных специалистов и развитие навыков в области устранение уязвимостей. | 91 |
| 5 |  VK запустил масштабные закупки техники для разработчиков мессенджера Max и видеосервиса «VK Видео»
Холдинг разместил на платформе «Росэлторг» закупку почти 1200 ноутбуков MacBook Air и MacBook Pro на процессорах M5. Техника собрана в шесть лотов, в каждом свои модели и конфигурации. Об этом сообщило издание CNews со ссылкой на данные платформы.
Отдельные закупки касаются телевизоров разных брендов и годов выпуска, ТВ‑приставок, пультов и другого AV‑оборудования, а также лота на 183 миллиона рублей со смартфонами, планшетами, приставками и гарнитурами для офисов в Москве и Санкт-Петербурге. Техника нужна для обновления рабочих мест и для тестирования приложений Max и «VK Видео» на популярных устройствах и платформах, включая Smart TV.
#vk #финансы
💬 MAX | 💬 TG | 💙 VK |🔗Сайт | 📝 Дзен
🎁 Розыгрыш неттопа iRU | 112 |
| 6 | "В компании VK работает более 13 000 человек, а общая численность специалистов, создающих продукты для экосистемы, достигает 15 000 человек."
На этом фоне 1200 ноутов не особо и много. Когда я в VK работал, можно было выбрать между ThinkPad-ом и MacBook-ом. У меня был ThinkPad с Ubuntu. 🙂 | 118 |
| 7 | Тоже выскажусь по поводу отзывов SSL-сертификатов. 🗿
@avleonovlive | 121 |
| 8 | Про отпуск в Великом Новгороде. 🙂
@avleonovlive | 136 |
| 9 | Всех с праздником!
@avleonovlive | 176 |
| 10 | ⚡️Агентство CISA выпустило директиву для гос.учреждений США (а для всех остальных – хороший гайд🙂) о приоритизации устранения уязвимостей на основе риск-ориентированного подхода.
Критерии оценки рисков:
1️⃣Доступность системы из сети Интернет.
2️⃣Наличие уязвимости в каталоге KEV CISA.
3️⃣Возможность автоматизации процесса эксплуатации уязвимости (шаги 1-4 цепочки атаки, kill chain).
4️⃣Уровень воздействия на систему (полный или частичный контроль над системой в случае успешной атаки).
Напомню, что критерии 3 и 4 взяты из методологии SSVC*, а значения для этих параметров можно взять из репозитория CISA Vulnrichment.
Комбинирование вышеуказанных критериев риска порождает шестнадцать сценариев – а точнее SLA по устранению уязвимостей (от трех дней и до планового обновления).
Из интересного стоит отметить, что для самых высокорисковых сценариев, помимо устранения уязвимостей за три дня, необходимо провести расследование, чтобы исключить компрометацию инфраструктуры до момента применения патча.
*p.s. Кстати, в рамках вебинаров про подходы и инструменты приоритизации устранения уязвимостей я отмечаю, что методология SSVC напрашивается на преобразование в более прикладной подход и привожу несколько таких примеров. Теперь будет еще один 🙃
#vm #prioritization #cisa #vulnerability #ssvc #risk | 152 |
| 11 | 100+ CVE в день и эксплойт за $1
LLM уверенно генерируют рабочие эксплойты по описанию уязвимости из CVE и патчам. Редиске не нужно ничего реверсить. Достаточно настроить инструменты для определения диффа на основе патча и подготовить детальное описание баги. Так утверждают исследования, в которых описана экономика разработки эксплойтов с помощью ИИ. Где-то за $1, где-то за $2.77.
Умножаем на 100+ новых CVE в день и получаем автоматизированный конвейер на стороне атакующего. Политика «патчим критичные баги за 7 дней» ушла в историю. Про 90 дней на исправление вообще стоит забыть.
Почему это хорошая новость для security-инженера:
⚪️ закрытая кодовая база становится временным преимуществом для защиты
⚪️ дополнительная проверка находок от анализаторов является узким горлышком appsec-команды, а значит, теперь очевиден фокус для инженера
⚪️ время реакции на уязвимости теперь измеряется минутами, не днями. К концу года будет измеряться секундами.
Чтобы ускориться в исправлении проблем, не получится просто прикрутить LLM к существующим решениям. Нужно менять или строить заново архитектуру и процессы для agentic-систем.
@makrushin l MAX l VK l Сетка l Дзен | 132 |
| 12 | Политические шутки в прайм-тайме Первого канала - это не просто шутки. Это вызов.
@avleonovlive | 144 |
| 13 | 🔤🔤🔤🔤 🔤5️⃣
Через неделю выйдет очередная версия EPSS (пятая), но уже сейчас есть информация о некоторых изменениях, сравнение с действующей четвертой версией, да и фиды ежедневные уже как пару недель можно скачать.
Разработчики EPSS ожидаемо заявляют, что:
"Модель EPSS V5 представляет собой значительное обновление системы прогнозирования эксплуатации уязвимостей"
Из более "осязаемых" изменений:
🔗Улучшили поиск эксплойтов – стали лучше искать код на гитхабе, в т.ч. с точки зрения "качества", учитывая метрики популярности репозиториев.
🔗Добавили несколько новых источников данных – например, Vulncheck KEV.
🔗Модель V5 стала более стабильной, чем V4 – оценки в V5 реже подвергаются резким колебаниям при ежедневных обновлениях данных (примерно в 7-8 раз).
#epss #vm #cvss #kev #github #prioritization | 131 |
| 14 | Про MAX пишут очень мало хорошего, а ведь это замечательный и суперэффективный проект, решающий критически важную проблему для нашей страны. Надеюсь, что одним мессенджером не ограничится, и другие проекты, необходимые для обретения технологического суверенитета, будут решаться аналогичным образом. 🙏
@avleonovlive | 180 |
| 15 | 😎 Безопасники часто защищают не то, что нужно.
Купили SIEM. Купили сканер уязвимостей. Сканер нашёл 847 проблем. Передали список в ИТ. Через неделю список снова полон. Через месяц — те же 847 проблем, только новых. Знакомо?
Во время начального проникновения атакующие смотрят на инфраструктуру снаружи. Если мы смотрим на инфраструктуру изнутри, то это принципиально разные проекции.
Пока безопасник закрывает уязвимости оценивая баллы CVSS, злоумышленник ищет не «высокий балл», а путь к данным, которые реально стоят денег. Сервер с CVSS 9.8 в изолированной подсети его не интересует. А вот кривая интеграция с подрядчиком на периметре — очень даже.
Три вещи, которые мешают достичь зрелой ИБ:
Приоритизация без контекста. Чинить то, что кричит громче всего — не то же самое, что чинить то, что важно для бизнеса. У большинства компаний часто нет списка активов, потеря которых остановит работу.
Галочки вместо проверки. Патч поставили — молодцы. Проверили, что угроза реально закрыта? Почти никогда. Система остаётся уязвимой, просто красиво задокументированной.
ИТ без мотивации. Администраторы получают список задач, смысл которых им никто не объяснил. Без автоматизации, без контекста, без понимания такие задачи админы просто игнорируют.
Сегодня даю хороший способ честно проверить себя по всем этим пунктам. Инструктор SANS Джонатан Ристо собрал матрицу зрелости — CTEMMM. Ответьте честно на вопросы про ваши процессы. Файл прикреплён к посту.
Спойлер: большинство обнаружат себя на первом уровне из пяти.
В индустрии всё, о чём я написал выше, объединили в концепцию CTEM — Continuous Threat Exposure Management. Это расширение привычного Vulnerability Management, которое добавляет в область видимости то, что раньше игнорировали: ошибки конфигурации, проблемы с идентификацией и доступом (IAM), теневые ИТ-ресурсы и риски через подрядчиков. По сути — взгляд на вашу инфраструктуру глазами атакующего, а не глазами аудитора.
CTEM часто путают с EASM (External Attack Surface Management) — анализом периметра снаружи. Но EASM это один инструмент внутри CTEM, а не замена. Об этом напишу отдельно. Я уже публиковал сравнение CTEM vs VM.
Про подходы к CTEM упоминал уже Владимир Бондарев из Интеррос. Важные практически детали ищите на ctem.org.
Скачали? Ставьте огоньки, если вопросы в файле заставили вас задуматься!
А вы когда-нибудь сами откладывали установку патча, потому что понимали — ничего не сломается?
Денис Батранков в LinkedIn, YouTube, RuTube и MAX
#CTEM #Кибербезопасность #Экспертам #ВажнаяТема | 153 |
| 16 | Про трендовую эксплуатируемую EoP уязвимость в Windows (Microsoft Defender). 👾
@avleonovlive | 186 |
| 17 | Про трендовую RCE уязвимость в устройствах Palo Alto Networks
@avleonovlive | 169 |
| 18 | Накидал немного про айфончики в связи с последними событиями. 🍏
@avleonovlive | 191 |
| 19 | На сайте Anti-Malware 25 мая вышел аналитический отчёт "Сканеры уязвимостей: обзор российского рынка и отечественных решений", посвящённый российским и зарубежным сканерам уязвимостей, их функциональности и развитию рынка VS/VM; я сделал краткую выжимку и добавил свой комментарий.
@avleonovlive | 184 |
| 20 | Небольшой портал со статистикой и аналитикой по уязвимостям, обнаруженным с помощью автономных ИИ-агентов.
Ключевые выводы:
➡️В 2026 году наблюдается резкое сокращение (–68%) количества обнаруженных агентами классических веб-уязвимостей, таких как XSS, SQLi и CSRF, по сравнению с 2025 годом.
➡️Уязвимости, найденные ИИ, чаще (по сравнению с остальными) получают высокие или критические оценки по CVSS, однако, вероятность эксплуатации (по EPSS) почти всегда околонулевая. Например, EPSS > 80% зафиксирован только у трех уязвимостей.
➡️Чаще всего ИИ-агенты успешно находят уязвимости XSS, Code Injection и Path Traversal. Совсем плохи дела с Resource Management Errors, PHP File Inclusion, Embedded Malware и Protection Failure.
➡️Разные компании (разработчики ИИ-агентов) доминируют в различных метриках. Например, Anthropic лидирует по количеству найденных критических уязвимостей (40), в то время как Hacktron AI находит наиболее опасные с точки зрения эксплуатации уязвимости (самый высокий средний показатель EPSS — 12,77%). Организация AISLE Research Team лидирует по общему объему и разнообразию найденных типов уязвимостей.
#ai #vulnerability #cve #epss #cwe | 161 |
