Управление уязвимостями

"Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty. Екатерина Пухарева: В 2018 г. мы запустили приватную программу на одной из самых популярных на тот момент платформ, тестировали формат и отрабатывали внутренние процессы...

Атаки происходят не по графику, а по природе самой среды, и разговор о кибербезопасности неизбежно выходит за пределы инструкций и технических регламентов. Давайте попытаемся взглянуть на информационную уязвимость не как на исключение, а как на фундаментальное свойство любой сложной системы. Автор: Дмитрий Костров, эксперт по информационной безопасности В профессиональном сообществе слишком долго господствовало представление, что угроза приходит извне – будто бы взлом это акт агрессии, вторжение, случайность, против которой можно выставить щит и спать спокойно...

Корпоративная инфраструктура – это не просто провода, серверы и протоколы. Это живой организм, где каждый элемент, каждая конфигурация – это тонкая нить, сплетающаяся в сложный узор. И если одна нить рвется, весь узор может рассыпаться. Для сетевого инженера конфигурации – это язык, на котором он общается с оборудованием. Даже небольшое изменение в настройках может повлиять на состояние всей системы, но сети растут, технологии развиваются, и конфигурации должны успевать за этим быстром ритмом. Для сотрудника ИБ-департамента конфигурации – это линия обороны...

В начале июня 2025 г. исследовательская инициатива Project Eleven [1] выступила с громким заявлением, мгновенно привлекшим внимание как криптосообщества, так и специалистов по безопасности. На кону – один биткоин, более $100 тыс. по текущему курсу. Эту сумму организаторы обещают тому, кто сумеет подобрать приватный ключ к указанному биткоин-адресу, используя квантовый компьютер. Условие одно: для атаки должен быть применен алгоритм Шора – квантовый метод, теоретически способный обойти криптографическую защиту, на которой держится вся архитектура биткоина...

Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? Может показаться, что автоматизация приведения конфигурации инфраструктуры в безопасное состояние должна уменьшить объем работы и значительно ускорить процесс харденинга для администраторов систем, но это не всегда так...

Для устранения уязвимостей в стороннем ПО чаще всего применяется установка обновлений от вендора, а для обеспечения безопасности собственного исходного кода используются практики SDLC. На рынке есть множество инструментов для решения этих задач, причем как для нужд ИБ, так и с учетом специфики ИТ. Постановка и достижение целей в этих процессах, несмотря на их сложность, выглядят вполне осуществимыми. В случае с уязвимостями, связанными с небезопасными настройками, процесс обычно останавливается тогда, когда из ИБ в ИТ-отдел попадает тысячестраничный отчет, полученный из сканера уязвимостей...