⌨️ Управление уязвимостями — это базовый ИБ-процесс для любой организации

Согласно IBM X-Force Threat Intelligence Index 2023, эксплуатация уязвимостей в публично доступном приложении занимает первое местов в ТОПе векторов атаки для получения первичного доступа к инфраструктуре.

А когда злоумышленник проникает внутрь инфраструктуры, без эксплуатации уязвимостей не обходится практически никогда — заброшенные хосты можно найти, есть, из чего выбрать. 😏

Если бы в организациях все системы своевременно обновлялись и безопасно настраивались, то злоумышленникам жилось бы гораздо сложнее. 😇 Но без эффективного Vulnerability Management-процесса контролировать это не получится. 🤷‍♂️

🔻 А как его выстроить?
🔻 На какие уязвимости обращать внимание в первую очередь?
🔻 Да так, чтобы регуляторы по ИБ остались довольны?

Рекомендуем подписаться на телеграм-канал Александра Леонова "Управление уязвимостями и прочее".

Там вы найдете:

🟢 Обзоры актуальных уязвимостей, например из прошлого Microsoft Patch Tuesday или "2022's Top Routinely Exploited Vulnerabilities"
🟢 Обзоры методик и руководств от ФСТЭК и НКЦКИ
🟢 Впечатления от использования отечественных VM решений, например MaxPatrol VM, RedCheck, Vulns.io.

Подпишитесь сами и скиньте коллегам-VMщикам!

📱 Скрипты PowerShell для работы с AD аккаунтами

#польза

📣 Atlassian отключит профили россиян в Jira и Trello

Atlassian начала рассылать российским клиентам уведомления о грядущем закрытии профилей. Компания уведомила, что с момента получения ими письма с предупреждением, деактивация аккаунта произойдет в течение 30 дней.

❗️Напомним, что Atlassian, в том числе, принадлежит Trellо, Jira и система для совместной работы Confluence

Компания не сообщает, что ждет профили россиян в дальнейшем – окончательное удаление или потенциальная возможность восстановления.

❤️ Персональные данные: медицинская отрасль

Опубликован Приказ Министерства здравоохранения РФ от 03.07.2023 № 340н.

Согласно тексту документа, угрозами безопасности ПДн являются:

1️⃣ Угрозы безопасности ПДн, защищаемых без использования средств криптографической защиты информации, в т.ч. связанные с:
🔵 особенностями функционирования технических, программно-технических и программных средств, обеспечивающих хранение, обработку и передачу информации;
🔴 несанкционированным доступом к ПДн;
🟡 воздействием вредоносной программы;
🟢 использованием новых информационных технологий и др.

2️⃣ Угрозы реализации целенаправленных действий с использованием аппаратных и/или программных средств с целью нарушения безопасности защищаемых с использованием СКЗИ ПДн или создания условий для этого. Причиной могут быть:
🟢 создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
🟡 проведение атак нарушителями, находящимися вне контролируемой зоны;
🔴 проведение на этапе эксплуатации СКЗИ атак на ПДн, ключевую, аутентифицирующую и парольную информацию СКЗИ и т.д.
🔵 получение из находящихся в свободном доступе источников данных об информационной системе и др.

❗️ Приказ вступает в силу с 18 августа 2023 года.

#персданные

🇷🇺 Российские средства защиты информации: Соболь-4

По традиции, к четвергу подготовили подробный предметный обзор российского СЗИ «Соболь-4», который используем для обеспечения необходимого класса средств криптографической защиты информации, в том числе, в сервисе Safe Cloud 152-ФЗ.

Разобрали:
⚙️ аппаратную часть;
👨‍💻 процесс эксплуатации;
📱 процесс интеграции с Secret Net Studio;
👮‍♀️ соответствие требованиям регуляторов;
🟢 задачи «Соболь-4».

👉🏻Читать тут👈🏻

#импортозамещение #инфобез

🔥GitHub: карта репозиториев

Разработчик из Сиэтла создал атлас цифрового мира репозиториев GitHub.

Он собрал данные с июня 2020 года по март 2023 года и объединил 400 тысяч репозиториев, преобразовав их в "страны" и "города" на интерактивной карте.

📍 Каждая "страна" представляет язык программирования или технологическую платформу, а "города" и "деревни" в этих странах – отдельные проекты, базирующиеся на этой технологии.

👨‍💻 Путешественники могут увидеть, как связаны проекты, и перейти к исходным данным с одного клика.

#польза

📌 КИИ в сферах транспорта и энергетики: важное

Опубликованы и доступны для скачивания:

✈️ Перечень типовых отраслевых объектов КИИ сферы транспорта

⚡️ Перечень типовых отраслевых объектов КИИ сферы энергетики

☔️ Windows — все

С 30 сентября Microsoft перестанет обновлять подписки для корпоративных клиентов из России. Продлить их будет невозможно.

⚡️ Первой пострадает защита компаний — без лицензии ОС и другой софт не будут получать обновления безопасности.

❗️ Опасность подстерегает и пользователей — в распространяемый образ Windows можно вшить любые вредоносные программы.

🚀 «Административная» утечка

В открытый доступ выложен частичный SQL-дамп из CMS «Bitrix» официального портала Администрации города Тулы (tula.ru) с таблицей зарегистрированных пользователей, содержащей 6,913 строк:

🔴 ФИО;
🔵 адрес эл. почты;
🔴 хешированный пароль;
🔵 дата регистрации и последнего захода (с 06.02.2019 по 07.08.2023).

*️⃣Напомним, что CMS, в том числе, «Bitrix», не защищены по умолчанию. Подробнее об этом писали тут.

#утечки

🚫 Блокировка Gmail, Google Docs, Google Диск

Google начал блокировать россиянам доступ к сервисам. Пока это относится только к корпоративным клиентам и к сервисам, объединенным под общим названием Google Workspace. Это грозит потерей всей информации, включая почту и рабочие документы, если нет резервной копии (кстати, всё о бэкапах и правиле "3-2-1" - рассказывали тут).

Блокировка массовая, началась в ночь на 10 августа без предварительных анонсов.

🅰️После блокировки сервисов сотрудники компании не могут зайти в корпоративную почту, воспользоваться электронным документооборотом через Google Docs, из-за чего есть риск финансовых и репутационных потерь, почти все важные документы и переписки остались в корпоративном хранилище Google🅱️– заявил один из собеседников "Коммерсант".

По словам источников издания, на начало августа 2023 года, около 30% корпоративной информации российских компаний хранятся на серверах Google.

💢 Блокировка протоколов VPN: статистика

Лидеры по количеству сообщений:
70 - Москва и Московская область;
31 - Санкт-Петербург и Ленинградская область;
9 - Республика Татарстан.

🔵 Основные протоколы «под ударом»:
Wireguard, OpenVPN, IPSec, Shadowsocks, IKEv2

🟢 «Пострадавшие»:
Psiphon, VPN generator, Lantern, Windscribe, Tachyon, Betternet, Cloudflare, Urban VPN, Amnezia, PIA, Proton, Openvpn connect, Planet, iVPN, Xeovo, Surfshark, Tunnelbear, P4PN.

🚀 Сколько стоят навыки ИТ-специалиста?

HH.ru запустил калькулятор для расчета стоимости навыков в ИТ.

Благодаря сервису:
👨‍💻 ИТ-специалисты смогут узнать, на какое предложение и зарплату они могут претендовать;
🙂 Тем, кто уже трудоустроен, дадут подсказки, чему научиться, чтобы зарабатывать больше.

Для создания калькулятора команда HH.ru верифицировала 46 ИТ-профессий и 310 навыков в них, утвердила грейды и проверила данные по зарплатам.

❗️HH.ru планирует масштабировать калькулятор для всех профессий, внутри которых можно выделить квалификационные компетенции и определить их ценность.

🙂 VDI: всё о виртуальных рабочих столах

Друзья, уже в четверг разместим подробности тестирования последней системы управления виртуальными рабочими столами. А пока предлагаем скоротать время за почтением подборки материалов о VDI:

🔵 Базовая «база» о VDI – что это, как устроено, где применяют и зачем это нужно компаниям.

🟢 Реальный опыт внедрения VDI в организации. Понятие «цифровая зрелость».

🔵 Опыт внедрения VDI для «Новосибирскэнергосбыт».

🟢 Опыт внедрения VDI для федерального банка.

🔵 Импортозамещение VDI. Сравнительная таблица характеристик 3 решений.

🟢 Импортозамещение VDI. Space VM.

🔵 Импортозамещение VDI. Zvirt.

#заметкитехдира #польза

⚖️ Утечки ПДн: бизнес против огласки

Ассоциация больших данных выступила с предложением внести оговорки в законопроект об оборотных штрафах:

1️⃣ Положения статьи о наказании за утечку 🅰️не распространяются на случаи самостоятельного раскрытия данных неопределенному кругу лиц самим субъектом персональных данных🅱️.

2️⃣ Установить наказание за фейки об утечках.

Ассоциация, в частности, отмечает риск привлечения компаний к ответственности при появлении в свободном доступе компиляций из данных, самостоятельно раскрытых их субъектами. Такие компиляции уже публикуются под видом утечек, говорится в письме.

#персданные

🙂 HashiCorp отказалась от Open Source

Сооснователь HashiCorp объявил в официальном блоге компании, что они переводят все свои продукты с Mozilla Public License v2.0 на несколько переработанную Business Source License v1.1. При этом он пообещал, что «API, SDK и почти все библиотеки останутся под MPL 2.0». Изменения уже затронули Terraform, Nomad, Vault, Vagrant, Packer. А вот Consul все так же доступен под MPL.

Причина — использование наработок компании в коммерческих целях. Авторы хотят контролировать коммерческое использование продуктов, особенно, когда на их основе выстраивают конкурирующие сервисы. 

📣 Импортозамещение КИИ

Министр промышленности и торговли Денис Мантуров подписал приказ о переводе объектов критической информационной инфраструктуры (КИИ) госкомпаний на российское программное обеспечение.

Документ содержит план мероприятий по переходу, согласно которому к 2023 г. компании должны перевести на отечественное ПО от 14% до 100% софта по разным позициям, а к 2024 г. уже полностью отказаться от иностранных решений.

📌 Подробнее тут

#импортозамещение

👮‍♀️ Данные пользователей Discord слили в сеть

На теневом форуме выставили на продажу базу данных зарегистрированных пользователей и доступ к серверу discord.io - стороннему интерфейсу для Discord.

❗️ В базе данные 760 тыс. пользователей: адреса эл. почты, хешированные пароли и т.п.

В тестовом образце адреса эл. почты действительные и проходят проверку через восстановление пароля на сайте discord.com/login.

#утечки

🇷🇺 Защищённые мессенджеры «Импульс» и «Колибри» показали в работе

Компания «Росэлектроника» впервые продемонстрировала работу защищённых мессенджеров «Импульс» и «Колибри» для мобильных устройств под управлением ОС Android и «Аврора».

📣 Как отмечает пресс-служба, приложения позволяют пользователям безопасно обмениваться информацией и минимизируют возможность утечки личных и служебных данных.

❗️ В то же время, в 300 млрд руб. Роскомнадзор и производители оценили доработку самой ОС Аврора. Об этом 14.08 написал «Коммерсант».

#импортозамещение

⚖️ Стратегия развития отрасли связи до 2035 года

Минцифры представило стратегию развития отрасли связи до 2035 года. Она состоит из двух этапов и подразумевает эксплуатацию сетей 5G и 6G.

Общественное обсуждение продлится до середины сентября.

⌨️ Среда разработки от Google

Project IDX - браузерная среда разработки, в которой есть ИИ. По словам представителей, ИИ будет помогать в написании и рефакторинге кода.

🚀 Также представлено множество других инструментов, которые в разы упростят тестирование сервисов на разных устройствах. Готовые проекты можно быстро перенести в GitHub.

Все данные будут храниться в облаке, так что вернуться к ним снова можно будет в любое время и с любого устройства.

*️⃣Пока она доступна только для владельцев вайтлист.