Наш PR-отдел отметил меня значком "The Best Positive Speaker 2025" за публичные выступления, статьи и комментарии СМИ. Большое спасибо коллегам за это! Очень приятненько. 😇 Коллекция собирается. 😉

В этот раз значок в стиле логотипа ситкома "Friends". Значок…

Через два месяца собираюсь выступать в секции про VM/EM/ASM на конференции Территория Безопасности 2026 и модерировать её же. 😉 В секции ожидаются минидоклады со стороны вендоров, сервис-провайдеров и клиентов. Плюс обсудим то, как мы видим развитие управления…

Про уязвимость Authentication Bypass - GNU Inetutils (CVE-2026-24061). GNU Inetutils - это набор сетевых программ общего назначения, включающий, среди прочего, сервер Telnet (telnetd). Уязвимость telnetd из GNU Inetutils позволяет удалённому злоумышленнику…

Январский Linux Patch Wednesday. В январе Linux вендоры начали устранять 918 уязвимостей, в полтора раза больше, чем в декабре. Из них 616 в Linux Kernel. Есть три уязвимости с признаками эксплуатации вживую:

🔻 AuthBypass - GNU Inetutils (telnetd) (CVE…

Американское VM-ное комьюнити переваривает статью по итогам квартальной встречи NIST ISPAB о перспективах NIST NVD. Если коротко: NIST не может и не хочет обогащать все уязвимости в NVD, у них лапки. 🐾

🔹 Растущий бэклог по непроанализированным уязвимостям…

От души поздравляю всех студентов с Татьяниным днём! Обычно студенческие годы описывают как какое-то особенно весёлое и беззаботное время. Это ну вообще никак не соответствует моим воспоминаниям. 😅 Наоборот, стресса и напряжения было хоть отбавляй. Куда больше…

Январский "В тренде VM": уязвимости в Windows, React и MongoDB. Традиционная ежемесячная подборка трендовых уязвимостей. Стартуем сезон 2026. 🙂

🗒 Дайджест на сайте PT

Всего три уязвимости:

🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)…

АЛТЭКС-СОФТ представили решение класса vulnerability management - RedCheck VM. Формально его описывают как "перспективный модуль сканера RedCheck".

Пока доступен один скриншот с дашбордом "Управление уязвимостями". На нём можно видеть следующие информеры:…

Про уязвимость Remote Code Execution - Microsoft Office (CVE-2026-21509). Уязвимость была экстренно исправлена 26 января вне регулярных Microsoft Patch Tuesday. Microsoft классифицировали её как Security Feature Bypass, но, фактически, это Remote Code Execution.…

Приложил руку к новому продукту Positive Technologies - PT EdTechLab. 😉 Когда мы готовили семестровый VM-курс для совместной магистратуры ИТМО и PT, у нас там были предусмотрены практические и лабораторные работы. Разница между ними была в том, что лабораторки…

В российском Форбсе вышла статья о плачевном состоянии инсталляций SAP ERP в отечественных организациях на основе исследования Digital Security. Их не защищают "системно и по правилам" и даже пытаются скрывать:

"Многие организации сегодня официально декларируют…

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми.…

Прочитал хабропост про опыт zVirt на Standoff Bug Bounty. zVirt - отечественная платформа серверной виртуализации от компании Orion soft.

Когда российский вендор выходит на багбаунти - это здорово. 🔥 А когда делится инфой по найденному и устранённому - это…

Роль AI-инструментов в ресёрче новых (0day) уязвимостей сейчас неоднозначна.

🔹 Безусловно, набирает обороты AI-слоп. Нагенерить и сдать что-то похожее на описание уязвимости (или эксплойт) в надежде получить баунти или просто CVE-идентификатор стало СЛИШКОМ…

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными…

Организаторы Код ИБ ИТОГИ (04.12.2025) выложили материалы конференции. Я выбрал оттуда всё, что относится к секции "Анализ защищённости", в которой я выступал и которую я модерировал, и добавил ссылки на видеозаписи докладов с VK Видео.

🔹 От вызовов к итогам:…