اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Заметки VMщика
رفتن به کانال در Telegram
Творческая лаборатория канала @avleonovrus "Управлением Уязвимостями и прочее". Новости, черновики, мысли, комментарии, немного оффтопа. Личка: @leonov_av
نمایش بیشتر535
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-17 روز
+1130 روز
آرشیو پست ها
Июньский дайджест трендовых уязвимостей по версии Positive Technologies. ⚡️
@avleonovlive
Repost from Порвали два трояна
▶️ EPSS v5
Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5.
По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов.
Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени.
#новости #уязвимости @П2Т
Repost from VP Cybersecurity Brief
Неоднозначная новость от FIRST которую нужно внимательно осмыслить всем ответственным за управление уязвимостями:
1. С одной стороны прогнозы по количеству уязвимостей на этот год увеличились на 46 процентов до 66000 с шансом достичь рекордных 70000 за год.
2. С другой стороны FIRST заявляет, что количество уязвимостей требующих немедленных действий почти не изменилось. Уязвимости требующие немедленных действий это уязвимости из списка CISA KEV и уязвимости с метрикой EPSS выше 10%.
По моему мнению такая неоднозначность может говорить о трех причинах:
1. CISA KEV и EPSS стали неэффективным способом оценки необходимости патчинга. В пользу этой версии говорят проблемы с финансированием у CISA и ожидающийся новый релиз метрики EPSS.
2. Поток уязвимостей от ИИ и новых организаций уполномоченных на присвоение уязвимостей CNA - резко снизил общий КПД процесса поиска новых уязвимостей и требует радикального пересмотра. Эта версия также может быть поддержана теми кто считает средства ИИ экономически неэффективным.
3. Новые источники уязвимостей (ИИ и CNA) имеют аномальное распределение с почти отсутствующим количеством уязвимостей требующих немедленного патча, но другие найденные уязвимости высокого уровня риска важны для борьбы с продвинутыми атаками.
Также FIRST сформировала 4 лучших практики на основе своего прогноза:
1. Планируйте свой бюджет (на управление уязвимостями) с учётом разнообразия используемого ПО, а не ориентируйтесь на новостные поводы.
2.EPSS и CISA KEV остаются эффективными инструментами для отделения сигнала от шума.
3.Учитывайте в своих планах, что до конца года текущая удвоенная нагрузка на патч менеджмент сохранится.
4. Склоняйтесь к использованию ИИ для нужд защиты. ИИ может вам помочь в снижении среднего времени на поиск и устранение уязвимостей.
По мнению автора сего канала такая ситуация с уязвимостями только формирует новый запрос на квалифицированных специалистов и развитие навыков в области устранение уязвимостей.
Repost from Игнатий Цукергохер
VK запустил масштабные закупки техники для разработчиков мессенджера Max и видеосервиса «VK Видео»
Холдинг разместил на платформе «Росэлторг» закупку почти 1200 ноутбуков MacBook Air и MacBook Pro на процессорах M5. Техника собрана в шесть лотов, в каждом свои модели и конфигурации. Об этом сообщило издание CNews со ссылкой на данные платформы.
Отдельные закупки касаются телевизоров разных брендов и годов выпуска, ТВ‑приставок, пультов и другого AV‑оборудования, а также лота на 183 миллиона рублей со смартфонами, планшетами, приставками и гарнитурами для офисов в Москве и Санкт-Петербурге. Техника нужна для обновления рабочих мест и для тестирования приложений Max и «VK Видео» на популярных устройствах и платформах, включая Smart TV.
#vk #финансы
💬 MAX | 💬 TG | 💙 VK |🔗Сайт | 📝 Дзен
🎁 Розыгрыш неттопа iRU
"В компании VK работает более 13 000 человек, а общая численность специалистов, создающих продукты для экосистемы, достигает 15 000 человек."
На этом фоне 1200 ноутов не особо и много. Когда я в VK работал, можно было выбрать между ThinkPad-ом и MacBook-ом. У меня был ThinkPad с Ubuntu. 🙂
Repost from AlexRedSec
⚡️Агентство CISA выпустило директиву для гос.учреждений США (а для всех остальных – хороший гайд🙂) о приоритизации устранения уязвимостей на основе риск-ориентированного подхода.
Критерии оценки рисков:
1️⃣Доступность системы из сети Интернет.
2️⃣Наличие уязвимости в каталоге KEV CISA.
3️⃣Возможность автоматизации процесса эксплуатации уязвимости (шаги 1-4 цепочки атаки, kill chain).
4️⃣Уровень воздействия на систему (полный или частичный контроль над системой в случае успешной атаки).
Напомню, что критерии 3 и 4 взяты из методологии SSVC*, а значения для этих параметров можно взять из репозитория CISA Vulnrichment.
Комбинирование вышеуказанных критериев риска порождает шестнадцать сценариев – а точнее SLA по устранению уязвимостей (от трех дней и до планового обновления).
Из интересного стоит отметить, что для самых высокорисковых сценариев, помимо устранения уязвимостей за три дня, необходимо провести расследование, чтобы исключить компрометацию инфраструктуры до момента применения патча.
*p.s. Кстати, в рамках вебинаров про подходы и инструменты приоритизации устранения уязвимостей я отмечаю, что методология SSVC напрашивается на преобразование в более прикладной подход и привожу несколько таких примеров. Теперь будет еще один 🙃
#vm #prioritization #cisa #vulnerability #ssvc #risk
Repost from Makrushin
100+ CVE в день и эксплойт за $1
LLM уверенно генерируют рабочие эксплойты по описанию уязвимости из CVE и патчам. Редиске не нужно ничего реверсить. Достаточно настроить инструменты для определения диффа на основе патча и подготовить детальное описание баги. Так утверждают исследования, в которых описана экономика разработки эксплойтов с помощью ИИ. Где-то за $1, где-то за $2.77.
Умножаем на 100+ новых CVE в день и получаем автоматизированный конвейер на стороне атакующего. Политика «патчим критичные баги за 7 дней» ушла в историю. Про 90 дней на исправление вообще стоит забыть.
Почему это хорошая новость для security-инженера:
⚪️ закрытая кодовая база становится временным преимуществом для защиты
⚪️ дополнительная проверка находок от анализаторов является узким горлышком appsec-команды, а значит, теперь очевиден фокус для инженера
⚪️ время реакции на уязвимости теперь измеряется минутами, не днями. К концу года будет измеряться секундами.
Чтобы ускориться в исправлении проблем, не получится просто прикрутить LLM к существующим решениям. Нужно менять или строить заново архитектуру и процессы для agentic-систем.
@makrushin l MAX l VK l Сетка l Дзен
Политические шутки в прайм-тайме Первого канала - это не просто шутки. Это вызов.
@avleonovlive
Repost from AlexRedSec
🔤🔤🔤🔤 🔤5️⃣
Через неделю выйдет очередная версия EPSS (пятая), но уже сейчас есть информация о некоторых изменениях, сравнение с действующей четвертой версией, да и фиды ежедневные уже как пару недель можно скачать.
Разработчики EPSS ожидаемо заявляют, что:
"Модель EPSS V5 представляет собой значительное обновление системы прогнозирования эксплуатации уязвимостей"Из более "осязаемых" изменений: 🔗Улучшили поиск эксплойтов – стали лучше искать код на гитхабе, в т.ч. с точки зрения "качества", учитывая метрики популярности репозиториев. 🔗Добавили несколько новых источников данных – например, Vulncheck KEV. 🔗Модель V5 стала более стабильной, чем V4 – оценки в V5 реже подвергаются резким колебаниям при ежедневных обновлениях данных (примерно в 7-8 раз). #epss #vm #cvss #kev #github #prioritization
Про MAX пишут очень мало хорошего, а ведь это замечательный и суперэффективный проект, решающий критически важную проблему для нашей страны. Надеюсь, что одним мессенджером не ограничится, и другие проекты, необходимые для обретения технологического суверенитета, будут решаться аналогичным образом. 🙏
@avleonovlive
Repost from Топ кибербезопасности Батранкова
😎 Безопасники часто защищают не то, что нужно.
Купили SIEM. Купили сканер уязвимостей. Сканер нашёл 847 проблем. Передали список в ИТ. Через неделю список снова полон. Через месяц — те же 847 проблем, только новых. Знакомо?
Во время начального проникновения атакующие смотрят на инфраструктуру снаружи. Если мы смотрим на инфраструктуру изнутри, то это принципиально разные проекции.
Пока безопасник закрывает уязвимости оценивая баллы CVSS, злоумышленник ищет не «высокий балл», а путь к данным, которые реально стоят денег. Сервер с CVSS 9.8 в изолированной подсети его не интересует. А вот кривая интеграция с подрядчиком на периметре — очень даже.
Три вещи, которые мешают достичь зрелой ИБ:
Приоритизация без контекста. Чинить то, что кричит громче всего — не то же самое, что чинить то, что важно для бизнеса. У большинства компаний часто нет списка активов, потеря которых остановит работу.
Галочки вместо проверки. Патч поставили — молодцы. Проверили, что угроза реально закрыта? Почти никогда. Система остаётся уязвимой, просто красиво задокументированной.
ИТ без мотивации. Администраторы получают список задач, смысл которых им никто не объяснил. Без автоматизации, без контекста, без понимания такие задачи админы просто игнорируют.
Сегодня даю хороший способ честно проверить себя по всем этим пунктам. Инструктор SANS Джонатан Ристо собрал матрицу зрелости — CTEMMM. Ответьте честно на вопросы про ваши процессы. Файл прикреплён к посту.
Спойлер: большинство обнаружат себя на первом уровне из пяти.
В индустрии всё, о чём я написал выше, объединили в концепцию CTEM — Continuous Threat Exposure Management. Это расширение привычного Vulnerability Management, которое добавляет в область видимости то, что раньше игнорировали: ошибки конфигурации, проблемы с идентификацией и доступом (IAM), теневые ИТ-ресурсы и риски через подрядчиков. По сути — взгляд на вашу инфраструктуру глазами атакующего, а не глазами аудитора.
CTEM часто путают с EASM (External Attack Surface Management) — анализом периметра снаружи. Но EASM это один инструмент внутри CTEM, а не замена. Об этом напишу отдельно. Я уже публиковал сравнение CTEM vs VM.
Про подходы к CTEM упоминал уже Владимир Бондарев из Интеррос. Важные практически детали ищите на ctem.org.
Скачали? Ставьте огоньки, если вопросы в файле заставили вас задуматься!
А вы когда-нибудь сами откладывали установку патча, потому что понимали — ничего не сломается?
Денис Батранков в LinkedIn, YouTube, RuTube и MAX
#CTEM #Кибербезопасность #Экспертам #ВажнаяТема
Про трендовую эксплуатируемую EoP уязвимость в Windows (Microsoft Defender). 👾
@avleonovlive
На сайте Anti-Malware 25 мая вышел аналитический отчёт "Сканеры уязвимостей: обзор российского рынка и отечественных решений", посвящённый российским и зарубежным сканерам уязвимостей, их функциональности и развитию рынка VS/VM; я сделал краткую выжимку и добавил свой комментарий.
@avleonovlive
Repost from AlexRedSec
Небольшой портал со статистикой и аналитикой по уязвимостям, обнаруженным с помощью автономных ИИ-агентов.
Ключевые выводы:
➡️В 2026 году наблюдается резкое сокращение (–68%) количества обнаруженных агентами классических веб-уязвимостей, таких как XSS, SQLi и CSRF, по сравнению с 2025 годом.
➡️Уязвимости, найденные ИИ, чаще (по сравнению с остальными) получают высокие или критические оценки по CVSS, однако, вероятность эксплуатации (по EPSS) почти всегда околонулевая. Например, EPSS > 80% зафиксирован только у трех уязвимостей.
➡️Чаще всего ИИ-агенты успешно находят уязвимости XSS, Code Injection и Path Traversal. Совсем плохи дела с Resource Management Errors, PHP File Inclusion, Embedded Malware и Protection Failure.
➡️Разные компании (разработчики ИИ-агентов) доминируют в различных метриках. Например, Anthropic лидирует по количеству найденных критических уязвимостей (40), в то время как Hacktron AI находит наиболее опасные с точки зрения эксплуатации уязвимости (самый высокий средний показатель EPSS — 12,77%). Организация AISLE Research Team лидирует по общему объему и разнообразию найденных типов уязвимостей.
#ai #vulnerability #cve #epss #cwe
