У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми.…

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty. zVirt - отечественная платформа серверной виртуализации от компании Orion soft.

Когда российский вендор выходит на багбаунти - это здорово. 🔥 А когда делится инфой по найденному и устранённому - это…

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна.

🔹 Безусловно, набирает обороты AI-слоп. Нагенерить и сдать что-то похожее на описание уязвимости (или эксплойт) в надежде получить баунти или просто CVE-идентификатор стало СЛИШКОМ…

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными…

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции. Я выбрал оттуда всё, что относится к секции "Анализ защищённости", в которой я выступал и которую я модерировал, и добавил ссылки на видеозаписи докладов с VK Видео.

🔹 От вызовов к итогам:…

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили…

Ещё один пример успешной атаки на компанию топливно-энергетического комплекса из доклада НКЦКИ. Трагикомедия в 4 действиях. 🤦‍♂️

"Компания содержит несколько предприятий. Все они подключены к единой сети передачи данных.

✉️ Злоумышленник с использованием…

На сайте ФСТЭК 30 января был опубликован документ с рекомендациями по харденингу Samba. Samba - пакет программ, которые позволяют обращаться по сети к файлам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную…

Google начали активно бороться с компанией IPIDEA. Почему это важно?

Все мы любим качественные приложения для мобильных устройств, десктопов и серверов. Желательно, чтобы эти приложения были бесплатными и без рекламы. 😇

А разработчики этих приложений…

Насколько вообще опасно, что неизвестные лица выполняют сетевые запросы с вашего устройства? По той причине, что вы сами установили на это устройство программу со скрытой (или не очень скрытой 😏) функциональностью, или устройство было скомпрометировано злоумышленниками…

Разработчики популярного текстового редактора Notepad++ написали сегодня, что их серверная инфраструктура была скомпрометирована с июня по декабрь 2025 года и злоумышленники устанавливали малвари на хосты с Notepad++ под видом обновлений. 🤷‍♂️

"Согласно…

Прочитал статью "NVD больше не успевает за реальностью: взгляд R-Vision на пересмотр роли NIST". Очередная рефлексия на статью CYBERSECURITY DIVE про то, что у NIST-а лапки. 🙂 Имхо, ключевой тезис в статье R-Vision вот этот:

"Для нас качество базы измеряется…

Сегодня меня спросили: как скачать базу уязвимостей с сайта NVD? Если нужны данные из NIST NVD по всем уязвимостям, проще всего скачать архивированные фиды в формате JSON.

Запускаем скрипт:
import requests

BASE = "https://nvd.nist.gov/feeds/json/cve/2.0/"…

Выпустил Vulristics 1.0.11: добавил Server-Side Request Forgery (SSRF) как отдельный тип уязвимости. Я стараюсь использовать в Vulristics очень небольшое количество базовых типов уязвимостей (около 20) и всё сводить к ним. За небольшим исключением, это те…

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей.

Формула расчёта:

"CybVSS = latest_cvss_bs^2 * spread * exploitability * mentions * k_kev…

Посмотрел сегодня вебинар-практикум "Эффективное управление уязвимостями: поверхность атаки и комплаенс" от компании Alpha Systems. Компания существует три года, у них десятки клиентов.

🖼 Вводную часть построили на сравнении ИБ в компании и здоровья человека:…

Добавлю ещё по Q&A-секции и роадмапу Alpha Systems из сегодняшнего вебинара "Эффективное управление уязвимостями: поверхность атаки и комплаенс".

Фичи роадмапа на 2026 в довольно общем виде:

🔸 "Живой каталог активов", "Система, которая видит и понимает".…