Идея статьи Любая уязвимость в системе, это проблема, но не любая проблема требует завтрашнего патча. CVE-записей тысячи, ресурсов — ограниченное количество. CWSS, это попытка формализовать экспертный опыт анализа уязвимости и перевести его в цифру, которую можно сравнить с другой цифрой. Но эта система не для того, чтобы дать один единственный верный ответ, а для того, … Читать далее
Обещания проверить код на уязвимости часто превращаются в вычисления, которые займут больше времени, чем возраст вселенной. Понять, почему это так — значит понять границы автоматизированной безопасности. https://seberd.ru/4852 Вычислительная сложность задач верификации безопасности программного обеспечения Программисты и специалисты по безопасности часто говорят о проверке кода. В идеальном мире инструмент просканировал бы программу и дал однозначный ответ: … Читать далее
«Все говорят о CVSS, но для реального приоритизации исправлений он почти бесполезен. CWSS уходит вглубь — от общей угрозы к конкретному бизнес-ущербу для вашего актива. Это не смена цифр, а смена парадигмы оценки.» Приоритизация уязвимостей — ежедневная рутина для специалистов по безопасности. Чаще всего для этого используется Common Vulnerability Scoring System (CVSS). Он даёт удобную … Читать далее
УСТРАНЕНИЕ УЯЗВИМОСТЕЙ: ОТ ОБНАРУЖЕНИЯ ДО РЕАЛЬНОЙ ЗАЩИТЫ Регулярное устранение уязвимостей — не рутинная задача, а стратегический процесс предотвращения инцидентов информационной безопасности 🎯 Суть процесса устранения уязвимостей Устранение обнаруженных уязвимостей не просто установка обновлений. Это комплексный процесс, включающий приоритизацию, планирование, реализацию и верификацию мер защиты. Эффективность этого процесса определяет, сможет ли злоумышленник воспользоваться обнаруженной уязвимостью для … Читать далее
“Информация утекает там, где её не ждут. Любой звонок в офис может стать источником данных для постороннего, а единственный человек, способный это предотвратить — секретарь на линии. Я задаю три вопроса, чтобы понять, насколько компания открыта для утечек даже не из-за хакерских атак, а из-за банального человеческого фактора.” Не хакеры, а обычные звонки Когда говорят … Читать далее
Нас всех учили, что ошибки, это «баг в коде», «глюк приложения» или «проблемы с сетью». Но когда в 2025 году типичная история про оплату парковки обернулась двойным списанием, я увидел, что корень лежит не там, где мы обычно его ищем. Это не сбой сервера, не мошенники и не халатность разработчиков. Это системная уязвимость, заложенная в … Читать далее
«Когда защиту строят слоями, часто не считают, сколько этих слоёв пробивает один меткий снаряд.» Что прячется за Defense in Depth Defense in Depth – стратегия информационной безопасности, которая использует несколько уровней защиты. Если один слой падает, следующий должен остановить угрозу. Исторически подход восходит к военному делу: чтобы добраться до крепости, нужно пройти ров, взять ворота, … Читать далее
«Классическая картина — независимый исследователь находит баг, вендор выпускает патч, всем спасибо. Но это картинка. В реальности всё чаще не ясно, кто нашёл и зачем. Внутренние отчёты вендоров, приватные баг-баунти программы, договорённости с ‘дружественными’ кибератаками, скрытые коммерческие предложения исследователям — всё это сильно искажает публичную статистику CVE. Уязвимость становится не просто ошибкой кода, а экономическим … Читать далее
«Погоня за полным списком уязвимостей, это ловушка, в которую попадают многие отделы ИБ. Мы пытаемся каталогизировать неизвестное, тратим бюджеты на сканеры, которые показывают лишь часть картины, и в итоге получаем ложное чувство безопасности. Настоящая защита начинается с осознания, что некоторые дыры в заборе всегда будут, и фокус должен сместиться на то, чтобы забор был достаточно … Читать далее
«Периодичность сканирования, это не догма из учебника, а инструмент управления рисками. Часто, это не значит каждую неделю. Речь о том, чтобы интервал между проверками был меньше времени, которое нужно злоумышленнику для подготовки и проведения атаки. Задача — создать ситуацию, когда в системе не успевает накапливаться критическое количество необнаруженных уязвимостей.» Отчёт об уязвимости, это не приговор, … Читать далее