Управление уязвимостями

Вы когда-нибудь заходили в супермаркет, где никого нет на кассе? Все вроде на месте, но чувство тревоги не отпускает: кто тут вообще отвечает за порядок? Так же и с инфраструктурой. Сервисы запускаются, тестовые окружения забываются, админы временно открывают порты – и периметр живет сам по себе. Когда мы в VK впервые попытались охватить его сканированием с помощью обычного nmap, стало ясно: это как вычерпывать море ложкой. Пока сканируешь, сеть уже изменилась. Автор: Максим Казенков, DevOps-специалист,...

Представим себе мир, где ошибки других людей могут приносить миллионы. Для некоторых это не фантазия, а реальность. brain и kedr – два молодых исследователя, построившие свой путь к успеху на баг-баунти. Первый всего за год вошел в топ-1 площадки Standoff Bug Bounty и обнаружил критическую уязвимость, оцененную более чем в 4 млн руб. Второй же стабильно получает крупные вознаграждения, не входя в тройку лидеров. Именно он заработал самую большую выплату на платформе – 4,97 млн руб. Их истории показывают,...

Не секрет, что российские организации стали уделять все больше внимания вопросам информационной безопасности и вкладывать бюджет и ресурсы в повышение уровня защищенности своей ИТ-инфраструктуры. В первую очередь в фокусе оказываются защита от вредоносного программного обеспечения, мониторинг событий информационной безопасности, управление инцидентами информационной безопасности. Но не менее важным является процесс управления уязвимостями, о котором мы поговорим в этой статье и посмотрим как можно оценить его зрелость и как его улучшить...

Наличие управляемого процесса управления уязвимостями (VM) – один из признаков зрелости информационной безопасности в компании. Это не просто техническая задача, а показатель того, насколько организация способна системно выявлять, оценивать и устранять ИБ-риски в своей инфраструктуре. Там, где VM встроен в регулярный цикл, организация получает не только защищенность, но и управляемость, предсказуемость, доказуемость и соответствие регуляторным требованиям. Зрелый VM-процесс – это не просто сканирование ради отчета и не разовый проект перед аудитом...

Даже самые надежные криптографические механизмы не дают абсолютной защиты, если сама сетевая архитектура оставляет лазейки для анализа трафика. Уязвимость нередко кроется не в алгоритмах, а в оптимизациях протоколов, где статистика и пассивное наблюдение способны разрушить иллюзию анонимности. Именно это демонстрирует свежий кейс из мира блокчейна Ethereum. Автор: Александр Подобных, криптоаналитик аналитического агентства “Opus Magnum”, руководитель комитета по безопасности цифровых активов и противодействию...

"Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty. Екатерина Пухарева: В 2018 г. мы запустили приватную программу на одной из самых популярных на тот момент платформ, тестировали формат и отрабатывали внутренние процессы...