Коллеги из КИТ выложили сегодня "Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год", в котором есть раздел про Управление Уязвимостями. Основная идея: "общий сдвиг надзорной логики от формальной проверки наличия мер к оценке реальной способности организаций выявлять, приоритизировать и устранять технические риски".
В отчёте упоминаются следующие документы ФСТЭК, выпущенные в прошлом году:
🔹 Методика оценки критичности уязвимостей (30.06.2025). Указана как ключевой элемент трансформации, т.к. формирует необходимость выстраивания логики обработки уязвимостей.
🔹 Методика проведения пентестов (08.09.2025). ДСП. 🤫
🔹 Методика анализа защищенности ИС (25.11.2025). Единый подход к выявлению уязвимостей.
🔹 Методика оценки показателя состояния технической защиты информации (11.11.2025). Для расчёта КЗИ.
🔹 Порядок проведения сертификации процессов безопасной разработки ПО (18.09.2025). Необходимо демонстрировать "повышение уровня защищенности в динамике".
@avleonovrus #КИТ #FSTEC #VMprocess
В отчёте упоминаются следующие документы ФСТЭК, выпущенные в прошлом году:
🔹 Методика оценки критичности уязвимостей (30.06.2025). Указана как ключевой элемент трансформации, т.к. формирует необходимость выстраивания логики обработки уязвимостей.
🔹 Методика проведения пентестов (08.09.2025). ДСП. 🤫
🔹 Методика анализа защищенности ИС (25.11.2025). Единый подход к выявлению уязвимостей.
🔹 Методика оценки показателя состояния технической защиты информации (11.11.2025). Для расчёта КЗИ.
🔹 Порядок проведения сертификации процессов безопасной разработки ПО (18.09.2025). Необходимо демонстрировать "повышение уровня защищенности в динамике".
@avleonovrus #КИТ #FSTEC #VMprocess
Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах". ФСТЭК предлагает "специалистам в области защиты информации заинтересованных государственных органов власти и организаций" рассмотреть документ и направить предложения по установленной форме на otd22@fstec.ru до 19 февраля.
❗️ Согласно пункту 1.3, "методический документ детализирует мероприятия (процессы)" по защите информации (ЗИ) и "определяет содержание мер" по ЗИ в соответствии с требованиями из 117-го приказа ФСТЭК.
Документ объёмный, 185 страниц.
Структура документа:
1️⃣ Общие положения
2️⃣ Факторы, влияющие на ЗИ
3️⃣ Мероприятия по ЗИ (45 страниц) -❗️ Среди них 3.3. Управление Уязвимостями (рассмотрю содержание подробно в последующих постах)
4️⃣ Меры по ЗИ (129 страниц)
Слово "уязвимость" в различных формах встречается по тексту 104 раза в разных частях документа. 🕵️♂️ Будет что пообсуждать. 😉😇
@avleonovrus #VMprocess #FSTEC #FSTEC117 #FSTEC117mm
❗️ Согласно пункту 1.3, "методический документ детализирует мероприятия (процессы)" по защите информации (ЗИ) и "определяет содержание мер" по ЗИ в соответствии с требованиями из 117-го приказа ФСТЭК.
Документ объёмный, 185 страниц.
Структура документа:
1️⃣ Общие положения
2️⃣ Факторы, влияющие на ЗИ
3️⃣ Мероприятия по ЗИ (45 страниц) -❗️ Среди них 3.3. Управление Уязвимостями (рассмотрю содержание подробно в последующих постах)
4️⃣ Меры по ЗИ (129 страниц)
Слово "уязвимость" в различных формах встречается по тексту 104 раза в разных частях документа. 🕵️♂️ Будет что пообсуждать. 😉😇
@avleonovrus #VMprocess #FSTEC #FSTEC117 #FSTEC117mm
Съездили вчера в детский центр игровой профориентации Кидзания в ТЦ Авиапарк. Использовали новогодний подарок от Security Vision, за который коллегам большое спасибо! 🙏
✅ В капитальной части Кидзания гораздо круче Кидбурга. Как будто прилетели в уютный вечерний городок. 😇👍
🙄 Однако по организации Кидзания сильно Кидбургу уступает. Активности длятся ~20 минут, но, как правило, проводятся не подряд, а с перерывами от 40 минут и больше. ⏳ Чтобы точно попасть, нужно высидеть в живой очереди. 😱 А там, где есть электронная запись (по браслету), записаться на несколько активностей подряд и составить своё расписание нельзя. 🤷♂️
👍 Павильон Security Vision в Кидзании даже круче, чем в Кидбурге. Отмечу плакат с мерами защиты: "Регулярно обновляй программы - это помогает устранить уязвимости в системе и предотвратить атаки!" 😉 Павильоны моих бывших работодателей Т-Банка и VK тоже было очень приятно увидеть. 🫶
@avleonovrus #дыбр #родительство #proforientation #Кидзания #Кидбург #SecurityVision #Tbank #VK
✅ В капитальной части Кидзания гораздо круче Кидбурга. Как будто прилетели в уютный вечерний городок. 😇👍
🙄 Однако по организации Кидзания сильно Кидбургу уступает. Активности длятся ~20 минут, но, как правило, проводятся не подряд, а с перерывами от 40 минут и больше. ⏳ Чтобы точно попасть, нужно высидеть в живой очереди. 😱 А там, где есть электронная запись (по браслету), записаться на несколько активностей подряд и составить своё расписание нельзя. 🤷♂️
👍 Павильон Security Vision в Кидзании даже круче, чем в Кидбурге. Отмечу плакат с мерами защиты: "Регулярно обновляй программы - это помогает устранить уязвимости в системе и предотвратить атаки!" 😉 Павильоны моих бывших работодателей Т-Банка и VK тоже было очень приятно увидеть. 🫶
@avleonovrus #дыбр #родительство #proforientation #Кидзания #Кидбург #SecurityVision #Tbank #VK
В MAX открыли свободную регистрацию каналов. Раньше каналы были доступны только десятитысячникам со статусом A+ (по этой теме я пока в процессе 🤷♂️). Теперь же зарегистрировать канал может любой желающий, достаточно нажать на "+" в правом верхнем углу и выбрать "Создать канал".
Но есть момент - у канала не будет публичного имени, только ссылка на приглашение. То есть это аналог приватного канала Telegram. Будет ли потом возможность конвертнуть канал из приватного в публичный пока непонятно. Ждём официального релиза фичи, по всей видимости завтра.
Я канал завёл, кто пользуется MAX-ом - добавляйтесь. 😉 Буду постить туда всякий эксклюзивчик.
Upd. Описание фичи в официальном канале для авторов.
Upd2. Каналы в MAX-е пока крайне сыроваты. 😔
@avleonovrus #MAXmessenger #Channels
Но есть момент - у канала не будет публичного имени, только ссылка на приглашение. То есть это аналог приватного канала Telegram. Будет ли потом возможность конвертнуть канал из приватного в публичный пока непонятно. Ждём официального релиза фичи, по всей видимости завтра.
Я канал завёл, кто пользуется MAX-ом - добавляйтесь. 😉 Буду постить туда всякий эксклюзивчик.
Upd. Описание фичи в официальном канале для авторов.
Upd2. Каналы в MAX-е пока крайне сыроваты. 😔
@avleonovrus #MAXmessenger #Channels
На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux. Документ на 17 страниц содержит 12 групп рекомендаций:
1. Парольные политики Windows и Linux
2. Доступ и логирование событий в MySQL/MariaDB, PostgreSQL, MS SQL Server
3. Отключение SMBv1 в Windows
4. Отключение NTLMv1 в Windows
5. Удаление учётной записи "Гость" из групп "Администраторы" в Windows
6. Хранение учётных данных и ограничение доступа к конфигурационным файлам Windows и Linux (здесь занятный список отечественных PAM-ов 😉)
7. Аудит и блокирование неиспользуемых открытых портов
8. Отключение автовхода пользователя в Windows
9. Безопасная настройка SSH в Linux
10. Назначение прав доступа на файлы и директории в Windows и Linux
11. Отключение неиспользуемых служб и компонентов операционной системы в Windows и Linux
12. Отключение неиспользуемых учётных записей и ограничение записей с избыточными правами в Windows и Linux
@avleonovrus #FSTEC #Linux #Windows #Microsoft
1. Парольные политики Windows и Linux
2. Доступ и логирование событий в MySQL/MariaDB, PostgreSQL, MS SQL Server
3. Отключение SMBv1 в Windows
4. Отключение NTLMv1 в Windows
5. Удаление учётной записи "Гость" из групп "Администраторы" в Windows
6. Хранение учётных данных и ограничение доступа к конфигурационным файлам Windows и Linux (здесь занятный список отечественных PAM-ов 😉)
7. Аудит и блокирование неиспользуемых открытых портов
8. Отключение автовхода пользователя в Windows
9. Безопасная настройка SSH в Linux
10. Назначение прав доступа на файлы и директории в Windows и Linux
11. Отключение неиспользуемых служб и компонентов операционной системы в Windows и Linux
12. Отключение неиспользуемых учётных записей и ограничение записей с избыточными правами в Windows и Linux
@avleonovrus #FSTEC #Linux #Windows #Microsoft
Февральский Microsoft Patch Tuesday. Всего 55 уязвимостей, в два раза меньше, чем в январе. Есть целых шесть (❗️) уязвимостей с признаком эксплуатации вживую:
🔻 SFB - Windows Shell (CVE-2026-21510)
🔻 SFB - Microsoft Word (CVE-2026-21514)
🔻 SFB - MSHTML Framework (CVE-2026-21513)
🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)
🔻 DoS - Windows Remote Access Connection Manager (CVE-2026-21525)
Также есть одна уязвимость с публичным эксплоитом:
🔸 DoS - libjpeg (CVE-2023-2804)
Из остальных уязвимостей можно выделить:
🔹 RCE - Windows Notepad App (CVE-2026-20841)
🔹 Spoofing - Outlook (CVE-2026-21511)
🔹 EoP - Windows Kernel (CVE-2026-21231, CVE-2026-21239, CVE-2026-21245), Windows AFD.sys (CVE-2026-21236, CVE-2026-21238, CVE-2026-21241)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows #WindowsShell #Word #MSHTML #RDS #DWM #RACM #libjpeg #Notepad #AFDsys #WinKernel #Outlook
🔻 SFB - Windows Shell (CVE-2026-21510)
🔻 SFB - Microsoft Word (CVE-2026-21514)
🔻 SFB - MSHTML Framework (CVE-2026-21513)
🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)
🔻 DoS - Windows Remote Access Connection Manager (CVE-2026-21525)
Также есть одна уязвимость с публичным эксплоитом:
🔸 DoS - libjpeg (CVE-2023-2804)
Из остальных уязвимостей можно выделить:
🔹 RCE - Windows Notepad App (CVE-2026-20841)
🔹 Spoofing - Outlook (CVE-2026-21511)
🔹 EoP - Windows Kernel (CVE-2026-21231, CVE-2026-21239, CVE-2026-21245), Windows AFD.sys (CVE-2026-21236, CVE-2026-21238, CVE-2026-21241)
🗒 Полный отчёт Vulristics
@avleonovrus #Vulristics #PatchTuesday #Microsoft #Windows #WindowsShell #Word #MSHTML #RDS #DWM #RACM #libjpeg #Notepad #AFDsys #WinKernel #Outlook
Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации. Схема проста:
🔹 Предоставленные сами себе подразделения организации решают стоящие перед ними задачи наиболее простым, быстрым и привычным образом. В идеале бесплатным! 😊 Что Вася для дома для семьи когда-то использовал, то и идёт в дело. Требования и политики организации (если они вообще есть) игнорируются. 👌 Что не контролируется, то и не выполняется. 😏 В результате откровенно чудовищные, неподдерживаемые и уязвимые решения внедряются и становятся фактическим стандартом организации. 🤷♂️ "А чё такова? Исторически сложилось! Зато работает! Это ж прямщаз для ДЕЛА нужно!"
🔹 В результате руководство, не контролирующее реальное положение дел (и не стремящееся к этому 🙄), принимает управленческие решения, которые, по идее, никак не должны зааффектить критические процессы в организации...
Но оказывается, что они аффектят и ещё как! 😱😉
@avleonovrus #VMprocess
🔹 Предоставленные сами себе подразделения организации решают стоящие перед ними задачи наиболее простым, быстрым и привычным образом. В идеале бесплатным! 😊 Что Вася для дома для семьи когда-то использовал, то и идёт в дело. Требования и политики организации (если они вообще есть) игнорируются. 👌 Что не контролируется, то и не выполняется. 😏 В результате откровенно чудовищные, неподдерживаемые и уязвимые решения внедряются и становятся фактическим стандартом организации. 🤷♂️ "А чё такова? Исторически сложилось! Зато работает! Это ж прямщаз для ДЕЛА нужно!"
🔹 В результате руководство, не контролирующее реальное положение дел (и не стремящееся к этому 🙄), принимает управленческие решения, которые, по идее, никак не должны зааффектить критические процессы в организации...
Но оказывается, что они аффектят и ещё как! 😱😉
@avleonovrus #VMprocess
Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025? Читаем раздел 3.4.
🔹 НЕ выявили уязвимости (3.4.2) - успех. 👍
🔹 Выявили уязвимости критического и высокого уровня (3.4.4), а также уязвимости среднего и низкого уровня, "которые по результатам экспертной оценки могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак)" (3.4.5) - их нужно устранить "в ходе проведения анализа уязвимостей". ⚡️ Оценка критичности уязвимостей производится по методике ФСТЭК. Устранили - успех. 👍 Не устранили - "отрицательное заключение". 👎
Т.е здесь речь об одноразовом "подпрыгивании" для устранения конкретных уязвимостей, без привязки к VM-процессу в организации? 🤔
Фактически да. 🤷♂️
Однако и требований, однозначно препятствующих устранению выявленных с помощью АЗ уязвимостей в рамках VM-процесса, здесь нет. Всё реализуемо. 😉 Вопрос лишь в определении приоритетов и сроков устранения.
@avleonovrus #АЗ #VMprocess
🔹 НЕ выявили уязвимости (3.4.2) - успех. 👍
🔹 Выявили уязвимости критического и высокого уровня (3.4.4), а также уязвимости среднего и низкого уровня, "которые по результатам экспертной оценки могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак)" (3.4.5) - их нужно устранить "в ходе проведения анализа уязвимостей". ⚡️ Оценка критичности уязвимостей производится по методике ФСТЭК. Устранили - успех. 👍 Не устранили - "отрицательное заключение". 👎
Т.е здесь речь об одноразовом "подпрыгивании" для устранения конкретных уязвимостей, без привязки к VM-процессу в организации? 🤔
Фактически да. 🤷♂️
Однако и требований, однозначно препятствующих устранению выявленных с помощью АЗ уязвимостей в рамках VM-процесса, здесь нет. Всё реализуемо. 😉 Вопрос лишь в определении приоритетов и сроков устранения.
@avleonovrus #АЗ #VMprocess
Февральский "В тренде VM": уязвимости в продуктах Microsoft. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз компактная и моновендорная.
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего две уязвимости:
🔻 RCE - Microsoft Office (CVE-2026-21509)
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)
🟥 Портал трендовых уязвимостей
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Office #OLE #Windows #DWM #ALPC #ASLR
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего две уязвимости:
🔻 RCE - Microsoft Office (CVE-2026-21509)
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)
🟥 Портал трендовых уязвимостей
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #Microsoft #Office #OLE #Windows #DWM #ALPC #ASLR
По поводу замедления Telegram в России. Я ещё в середине 2024 года обращал внимание, что это "вжж" со штрафами неспроста, и в эту сторону всё идёт. Если не договорятся. А шансы договориться были невысоки. Особенно после того, как Дурова задержали во Франции, а затем отпустили. Явно, что не просто так, а под определённые гарантии. 😉
Блочить телегу в регионах начали ещё в марте прошлого года. Тогда это было очень похоже на обкатку технологии. Чем, вероятно, и было.
Что будет дальше? После безобразного намёка Дурова, что телегу будут использовать для раскачки ситуации в стране "как в Иране" практически гарантировано, что мессенджер скоро перестанет быть массово доступным в России. Не замедлится, как сейчас, а вообще. Будет доступен ровно как X или YouTube. То есть те, кому ОЧЕНЬ нужно, продолжат им пользоваться, прикладывая для этого всё возрастающие усилия. Но своё значение платформы для широковещательной коммуникации с российской аудиторией Telegram утратит. 🤷♂️ C’est la vie.
@avleonovrus #Telegram #Durov
Блочить телегу в регионах начали ещё в марте прошлого года. Тогда это было очень похоже на обкатку технологии. Чем, вероятно, и было.
Что будет дальше? После безобразного намёка Дурова, что телегу будут использовать для раскачки ситуации в стране "как в Иране" практически гарантировано, что мессенджер скоро перестанет быть массово доступным в России. Не замедлится, как сейчас, а вообще. Будет доступен ровно как X или YouTube. То есть те, кому ОЧЕНЬ нужно, продолжат им пользоваться, прикладывая для этого всё возрастающие усилия. Но своё значение платформы для широковещательной коммуникации с российской аудиторией Telegram утратит. 🤷♂️ C’est la vie.
@avleonovrus #Telegram #Durov
Безусловно, мне очень жаль потраченных сил на развитие Телеграм-канала. Только-только за 10к перемахнули! 😩 И досадно от отсутствия вменяемых альтернатив. Приватные каналы Макса без доступа к API - это пока ни о чём. Надеюсь, что достойные альтернативы появятся, и можно будет снова начать собирать аудиторию с нуля. 🙏😅
1️⃣ Я собираюсь оставаться на Telegram, пока пользоваться им не будет прямо запрещено.
2️⃣ Но в качестве приоритетной площадки я буду развивать свой сайт avleonov.ru, на котором доступны все мои ТГ-посты с 2022 года. 😇 Форматирование, поиск, хештеги, перекрёстные ссылки и даже немного категорий - всё работает. Если пользуетесь RSS-читалками - подпишитесь. 😉
Любые социальные платформы дают доступ к своей аудитории и весьма ограниченной функциональности в обмен на контент, жёстко привязывая авторов к себе. А потом с платформой что-то случается, и начинай сначала. 🤷♂️🤦♂️ В этом отношении свой standalone-чик гораздо интереснее. 😉
@avleonovrus #MAXmessenger #Telegram #Mirror #Wordpress
1️⃣ Я собираюсь оставаться на Telegram, пока пользоваться им не будет прямо запрещено.
2️⃣ Но в качестве приоритетной площадки я буду развивать свой сайт avleonov.ru, на котором доступны все мои ТГ-посты с 2022 года. 😇 Форматирование, поиск, хештеги, перекрёстные ссылки и даже немного категорий - всё работает. Если пользуетесь RSS-читалками - подпишитесь. 😉
Любые социальные платформы дают доступ к своей аудитории и весьма ограниченной функциональности в обмен на контент, жёстко привязывая авторов к себе. А потом с платформой что-то случается, и начинай сначала. 🤷♂️🤦♂️ В этом отношении свой standalone-чик гораздо интереснее. 😉
@avleonovrus #MAXmessenger #Telegram #Mirror #Wordpress
В сети активно обсуждают утечку скриншота админки spyware-продукта Graphite от компании Paragon Solutions. На фотографии видны:
🔹 телефонный номер жертвы
🔹 кнопка "Intercept" ("Перехват")
🔹 периодичность перехвата данных
🔹 информация по судебному ордеру ("warrant expiration")
🔹 перечень приложений (мессенджеры и соцсети) из которых сливают данные
🔹 контакты
🔹 переписка
Лишнее напоминание: на Западе легальные spyware-продукты, эксплуатирующие уязвимости мобильных (и не только) устройств, существуют и успешно развиваются. 👨💻 И никто не шеймит вендоров таких продуктов (Paragon Solutions, NSO Group, Intellexa, Gamma Group и пр.) за то, что они не спешат репортить используемые 0day-уязвимости IT-вендорам. 😏 Лишь бы продавали решения только правильным клиентам. 🎩
Имхо, в России должны быть свои решения подобного класса. А репортинг уязвимостей (особенно вендорам из недружественных стран) давно пора регулировать.
@avleonovrus #spyware #ParagonSolutions #Graphite #NSOGroup #Intellexa #GammaGroup #research #ИНД
🔹 телефонный номер жертвы
🔹 кнопка "Intercept" ("Перехват")
🔹 периодичность перехвата данных
🔹 информация по судебному ордеру ("warrant expiration")
🔹 перечень приложений (мессенджеры и соцсети) из которых сливают данные
🔹 контакты
🔹 переписка
Лишнее напоминание: на Западе легальные spyware-продукты, эксплуатирующие уязвимости мобильных (и не только) устройств, существуют и успешно развиваются. 👨💻 И никто не шеймит вендоров таких продуктов (Paragon Solutions, NSO Group, Intellexa, Gamma Group и пр.) за то, что они не спешат репортить используемые 0day-уязвимости IT-вендорам. 😏 Лишь бы продавали решения только правильным клиентам. 🎩
Имхо, в России должны быть свои решения подобного класса. А репортинг уязвимостей (особенно вендорам из недружественных стран) давно пора регулировать.
@avleonovrus #spyware #ParagonSolutions #Graphite #NSOGroup #Intellexa #GammaGroup #research #ИНД
Частенько в тредах с обсуждением блокировок наблюдаю сообщения от самонадеянных криптооптимистов и криптонарциссов. Эти кадры настроили себе средства обхода блокировок, зачастую самые примитивные и массовые, и свято уверены, что они теперь будут работать всегда и РКН с ними НЕ МОЖЕТ СПРАВИТЬСЯ. 😏 Эти заблуждения от глубокого невежества.
🔹 Ваш интернет-провайдер, подконтрольный РКН, видит весь ваш трафик и может при необходимости замедлять и блокировать передачу данных по любым протоколам, которые потенциально пригодны для обхода блокировок. 👌
🔹 Завернёте всё в HTTPS? Ну да, гигабайты, прокачиваемые между вами и левым зарубежным хостом, не вызовут никаких подозрений. 😅
Против лома нет приёма. Контролируя линки, можно зарезать всё до состояния северокорейского Кванмёна. ✂️ И, как показал иранский опыт, Starlink не поможет. 🛰
Если у вас в моменте что-то работает, значит регулятор преследует другие цели и на ваши шалости ПОКА закрывает глаза. 😉 Цените это и тихо радуйтесь.
@avleonovrus #РКН #Kwangmyong
🔹 Ваш интернет-провайдер, подконтрольный РКН, видит весь ваш трафик и может при необходимости замедлять и блокировать передачу данных по любым протоколам, которые потенциально пригодны для обхода блокировок. 👌
🔹 Завернёте всё в HTTPS? Ну да, гигабайты, прокачиваемые между вами и левым зарубежным хостом, не вызовут никаких подозрений. 😅
Против лома нет приёма. Контролируя линки, можно зарезать всё до состояния северокорейского Кванмёна. ✂️ И, как показал иранский опыт, Starlink не поможет. 🛰
Если у вас в моменте что-то работает, значит регулятор преследует другие цели и на ваши шалости ПОКА закрывает глаза. 😉 Цените это и тихо радуйтесь.
@avleonovrus #РКН #Kwangmyong