Еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России. Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО. Продлен сертификат соответствия ФСТЭК России №3509 на Enterprise Security Suite. ФСТЭК России Олег Василенко Россия.
Анализ уязвимостей и оценка соответствия по ОУД4
| Новинка: Сканер-ВС 6 - сканирование на уязвимости никогда не было таким быстрым! | быстрое определение уязвимостей: выявление уязвимостей по версиям установленного ПО, база уязвимостей, включающая данные из БДУ ФСТЭК России, NIST NVD, а также баз уязвимостей ОС Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др. |
| Новая методика оценки УБИ — Утверждено ФСТЭК России | Новости БДУ ФСТЭК России Download Telegram. |
| Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности | Обрабатываются тексты всех редакционных разделов (новости, включая "Главные новости", статьи, аналитические обзоры рынков, интервью, а также содержание партнёрских проектов). |
| Федеральная служба по техническому и экспортному контролю (ФСТЭК) | Осуществляется поддержка уязвимостей из банка данных угроз безопасности информации (БДУ) ФСТЭК России. |
| UDV DATAPK Industrial Kit | Главная» Новости» Фстэк россии новости. |
Импортозамещение
- ФСТЭК РФ БДУ - Банк данных угроз Федеральной службы технико-экспортного контроля - CNews
- Возможности
- Уязвимость BDU:2023-00291 | CISOCLUB
- БДУ ФСТЭК РОССИИ Telegram канал
- ФСТЭК РФ БДУ - Банк данных угроз Федеральной службы технико-экспортного контроля - CNews
- Защита документов
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
В первую очередь будет проведена аналитика по сравнению техник и тактик из методики ФСТЭК России (FST&CK) с техниками, тактиками и контрмерами из матрицы MITRE ATT&CK и контрмерами из NIST 800-53. Новые угрозы в БДУ ФСТЭК. ФСТЭК России является правопреемницей Государственной технической комиссии СССР, которая была создана в декабре 1973 года. для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический. ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России.
Новый раздел банка данных угроз: что важно знать
Использование рекомендаций производителя:.
При первичной авторизации и первой отгрузке, а также при каждой смене статусов компании станут получать welcome-box — наборы с брендированными вещами. Также в рамках программы все авторизованные партнеры смогут принимать участие в ежеквартальных промомероприятиях производителя. Бренд Nerpa выпускает обширный перечень техники: персональные компьютеры, серверное оборудование, коммутаторы и сетевое оборудование, системы хранения данных и другое. Продукция поставляется через официального дистрибьютора — компанию OCS Distribution. В пул авторизованных партнеров бренда сегодня входит более 400 компаний. В 2023 году компания «АВРОИД» создала продукт, позволяющий организациям совершить стратегический переход на устройства с отечественной защищенной операционной системой «Аврора». Используя контейнер, пользователи сразу получают доступ к большинству уже существующих приложений: от сервисов для личной и рабочей коммуникации до мультимедийных платформ. Их функциональность сохраняется в полном объеме, при этом за безопасность можно не беспокоиться — приложения запускаются в изолированной среде внутри отечественной защищённой операционной системы «Аврора», сертифицированной ФСТЭК и ФСБ России. Для отправки push-уведомлений используется сервис собственной разработки Pushed.
Само приложение можно скачать из каталога «Авроры Маркета». Мобильное приложение Multifactor для ОС Аврора поддерживает функционал с настройками и контролем аккаунтов, запросами доступа и подтверждением доступа OTP-кодом. Приложение Multifactor для ОС Аврора уже доступно для загрузки и представлено в каталоге компании «Открытая мобильная платформа». Это система для автоматизированного обмена электронными документами в защищенном режиме между федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ, а также информирования высших органов государственной власти о ходе исполнения поручений. Теперь "Роспатент" имеет возможность участвовать в электронном обмене документами. Softline объявляет о выходе на рынок Центральной Азии ГК Softline выходит на рынок республики Казахстан, формируя Хаб в городе Алматы, который станет связующим звеном между российскими ИТ-технологиями и центрально-азиатскими компаниями. Основная цель ГК Softline в новом регионе — продвижение собственных продуктов, отраслевых решений и экспертизы, а также решений российских вендоров. При этом компания будет обеспечивать полный комплекс услуг, включая внедрение, сопровождение, техническую поддержку и обучение. В рамках сотрудничества ГК Softline получила статус «Золотого партнера». Специалисты группы компаний будут осуществлять продажу, внедрение и техническое сопровождение Altevics.
Команды вендоров провели обучение специалистов ГК Softline по работе с системой. Эксперты группы компаний получили сертификацию по курсам «ESM на базе Altevics» и «Автоматизация процессов в продукте Altevics». Таким образом, команда ГК Softline приобрела компетенции для эффективной кастомизации и масштабирования системы под задачи клиентов. Altevics — ESM-система для автоматизации сервисных подразделений и сервисных компаний. Платформа разработана с использованием импортонезависимых low-code технологий. Система рассчитана на взаимодействие в режиме реального времени с более чем 16 млн точек учета. Благодаря этому система может использоваться как единое решение для обработки данных энергопотребления в любых масштабах — от населенного пункта до всей страны. К ней уже подключены порядка 2 500 защищенных шлюзов, «опрашивающих» интеллектуальные приборы учета, а к концу 2024 года их количество вырастет до 24 000. К2Тех и Альфа-Лизинг разработали систему управления лизинговой деятельностью Разработка сделана на базе 1С. С помощью этой системы произошел рефакторинг более 240 бизнес-процессов свыше 1,5 тысяч требований на автоматизацию и 200 форм отчетности.
Общий охват проекта составил 500 пользователей. Внедрение было обусловлено федеральным законом. Управление предприятием 2» — архитектура подходила для дальнейшей кастомизации. Однако анализ выявил больше комплексных требований, чем предполагалось изначально — проект потребовал вовлечения большего количества ресурсов, увеличения сроков, принятия управленческих решений по распараллеливанию этапов и одновременному проведению аналитики, проектирования и разработки по различным функциональным блокам для достижения быстрого результата. Документы, системы для учета ИТ-активов и категорирования объектов критической информационной инфраструктуры КИИ.
В старом разделе БДУ нарушители делятся на три категории: с низким, средним и высоким потенциалом. Эта классификация отличается от используемой для моделирования угроз в соответствии с методикой ФСТЭК России от 5 февраля 2021 года. В ней сказано, что нарушители внешние и внутренние бывают четырех категорий: с базовыми возможностями, базовыми повышенными, средними и высокими. Как мы видим, есть некое совпадение между тем, как представлена информация об источниках угроз в БДУ, и тем, как мы должны определять их по новой методике. Также в БДУ указывается объект воздействия, на который направлена угроза, и перечисляются последствия этого воздействия.
Они могут быть трех типов: нарушение конфиденциальности, доступности и целостности. Если мы вновь заглянем в методику, то мы поймём, что кроме этих трех разновидностей рассматриваются нарушения подотчетности, неотказуемости и целый ряд других свойств, которые не описываются в БДУ. Главная проблема текущей версии БДУ в том, что в описании угроз нет информации о том, какие меры защиты могут её нейтрализовать. Хорошая новость в том, что на сайте БДУ появился новый раздел угроз. В нём как раз учтены большинство из перечисленных недостатков, есть мастер по моделированию угроз.
Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию. Рисунок 5. Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve. Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах. Основными особенностями «Ревизора сети» являются: проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных; проверка наличия неустановленных обновлений ОС семейства Windows; проверки учётных записей для узлов сети, подбор паролей; определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей; определение NetBIOS- и DNS-имён проверяемых узлов сети; проверки наличия и доступности общих сетевых ресурсов на узлах сети; сбор дополнительной информации об ОС семейства Windows. Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3. Сканер уязвимости «Ревизор сети» версии 3. С более подробной информацией о сканере можно ознакомиться на странице разработчика. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. Рисунок 7. Главное меню системы «Сканер-ВС» Помимо этого можно отметить наличие следующих возможностей: Инвентаризация ресурсов сети. Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё. Сетевой и локальный анализ стойкости паролей. Поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика, а также реализация атак типа MitM Man in the Middle, «внедрённый посредник». Анализ беспроводных сетей. Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам. Больше информации о данном сканере размещено на сайте данного продукта. Обзор зарубежных сканеров уязвимостей F-Secure Radar Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux. F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Рисунок 8. Окно центра управления в F-Secure Radar Помимо этого Radar предлагает следующие возможности: Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов. Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц. Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах. Инвентаризация приложений на узлах сети. Отслеживание всех изменений в ИТ-инфраструктуре. Больше информации о данном сканере размещено на сайте разработчика. В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует. GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Рисунок 9. Также можно добавлять собственные шаблоны в планировщик. Nessus Professional Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке. Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии: Поиск и выявление уязвимых версий служб или доменов. Обнаружение ошибок в конфигурациях. Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей. Рисунок 10.
Сергей Борисов
6457 подписчиков. БДУ ФСТЭК России: основные моменты (модель угроз). О банке данных угроз безопасности информации ФСТЭК России регулярно пишут разные авторы.
Множественные уязвимости systemd (CVE-2022-3821, CVE-2023-7008, CVE-2023-26604, CVE-2022-4415)
Направление 1 деловой программы и экспозиции Форума Цифровая трансформация предприятий и органов власти Процессы цифровизации в крупных предприятиях и в госсекторе, высокая потребность в быстром создании и развитии цифровых продуктов, управлении цифровыми услугами требуют переосмысления подходов. На Форуме руководители и специалисты обсуждают стратегию и структуру внедрения технологий, состав цифровых команд, импортозамещение ключевых цифровых решений и обеспечение технологического суверенитета, практику и проекты цифровой трансформации.
Банк данных угроз безопасности информации, включающий базу данных уязвимостей программного обеспечения В 2015 году ФСТЭК России совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации БДУ. БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных автоматизированных системах.
Кроме того, для групп с модерацией для пользователей в роли «Докладчик» доступна опция отображения только активных участников конференции тех, у кого включена камера или микрофон , а также переключение между медиапотоками участника звонка. Реализована упрощенная авторизация в рамках одной организации , а при открытии ссылки на конференцию или в группу запускается десктопный клиент. Образование и обучение Холдинг Т1 и МФТИ создали совместное предприятие для развития решений с использованием ИИ Холдинг Т1 и МФТИ, ведущий российский вуз по подготовке специалистов в области теоретической, экспериментальной и прикладной физики, математики, информатики объявляют о создании совместного предприятия «Квантовые и оптимизационные решения» СП «КОР» , которое будет заниматься разработкой оптимизационных решений в области математики и искусственного интеллекта. СП «КОР» станет связующим звеном между наукой, бизнесом и промышленными предприятиями: холдинг Т1 выступит как вендор, взаимодействующий с государством и компаниями из разных отраслей В числе задач нового предприятия: создание технологий на основе численных методов оптимизации и соответствующих инновационных продуктов, обеспечивающих решение актуальных практических и производственных задач. К2Тех перевел сеть магазинов Zolla на новую систему автоматизации торговли Необходимость в замещении системы управления торговой деятельностью у Zolla формировалась давно — на используемую версию решения «1С: Управление торговлей 10. Ключевым требованием к новой системе стал расчет себестоимости товаров. Сложность перехода заключалась в том, что на ИТ-системе было завязано огромное количество бизнес-процессов компании. В Zolla входит более 450 магазинов по всей России, каждый из которых имеет отдельную информационную базу и связан интеграционными потоками с центральной базой автоматизации торговли. Система ежедневно отражает в среднем 30 тысяч операций, собирает и консолидирует данные из отдельных информационных баз каждого магазина о заполненности складов, перемещениях товара и его продажах. Для базы построения новой системы было выбрано решение 1С: Управление торговлей 11. Это типовой продукт, позволивший закрыть большинство потребностей заказчика по функционалу. Система работает на базе платформы 1С 8. В результате проектная команда К2Тех и Zolla обновила систему автоматизации торговли 1С до УТ-11 и реализовала полный оперативный обмен между исторической и внедряемой базой. Аутсорсинговая компания «Центр единого сервиса Аскона Лайф Групп» автоматизировала обслуживание клиентов с помощью российского продукта Naumen Service Desk Pro. Сервисной поддержкой пользуются 63 корпоративных клиента и 10 тыс. В систему поступают запросы от организаций на бухгалтерское, кадровое, административное обслуживание и работу с нормативно-справочной информацией НСИ. Также в системе настроены и предоставляются 25 услуг для внутренних пользователей. Сотрудники холдинга Askona Life Group оценили быстроту, прозрачность и удобство работы в единой системе. Удовлетворенность клиентов выросла благодаря повышению удобства работы персонала и увеличению скорости решения запросов. Возможности нейросети Kandinsky 3. Добавление функции улучшения запроса бьютификации упрощает процесс создания изображений. Теперь нет необходимости быть профессиональным промпт-инженером — новая функция помогает создать детальный промпт за пользователя: достаточно написать всего несколько слов описания желаемого изображения, остальное сделает встроенная в новую версию нейросети языковая модель GigaChat Pro — она расширяет и обогащает деталями промпт. Также за счёт нового подхода к обучению и качественного датасета значительно улучшилась функция inpainting, которая позволяет редактировать отдельные части изображения. VK Cloud запустили облачный сервис Cloud Kafka для сбора и обработки потоков данных — решение на базе технологий с открытым исходным кодом Apache Kafka и Kubernetes. Сервис можно использовать для сбора аналитических и продуктовых метрик, показателей производительности сайтов и приложений, построения предиктивных моделей и прогнозирования бизнес-показателей, а также финансовой и налоговой отчетности. Cloud Kafka обеспечивает обмен данными между разными модулями ИТ-систем в режиме реального времени. С помощью сервиса можно создать систему уведомлений пользователей о новых заказах и обновлении статуса, отправлять сообщения или предложения в ответ на действия на сайте или в интернет-магазине. VK Реклама покажет бизнесу портрет аудитории сайта В кабинете VK Рекламы появился новый инструмент — портрет аудитории. С его помощью бизнес, продвигающий на платформе сайты, сможет составить обезличенный профиль посетителей за неделю. Аналитика поможет скорректировать маркетинговые стратегии и увеличить эффективность кампаний. Инструмент покажет срез аудитории по трем параметрам: социально-демографическим характеристикам, географии и интересам. По умолчанию бизнесу будет доступно распределение посетителей сайта по полу и возрасту, топ-5 городам и интересам. Дополнительно доступен расширенный список городов и регионов. Топ интересов покажет, какими темами посетители сайта интересуются больше, чем пользователи рунета в среднем.
Методика оценки угроз безопасности информации далее — Методика. Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация возникновение которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах далее — системы и сети , а также по разработке моделей угроз безопасности информации систем и сетей.
Защита документов
Продлен сертификат соответствия ФСТЭК России №3509 на Enterprise Security Suite. ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM). Осуществляется поддержка уязвимостей из банка данных угроз безопасности информации (БДУ) ФСТЭК России. Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России ().
Множественные уязвимости systemd (CVE-2022-3821, CVE-2023-7008, CVE-2023-26604, CVE-2022-4415)
Сетевой аудит Инвентаризация ресурсов сети — контроль появления новых сетевых узлов и сервисов, идентификация ОС и приложений, трассировка маршрутов передачи данных, построение топологии сети организации. Поиск уязвимостей — безагентное сканирование на наличие уязвимостей как с учетной записью администратора, так и без нее. Формирование отчета с техническими рекомендациями по устранению обнаруженных брешей в защите. В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т.
Эти же пользователи также отнесены и к типам нарушителей см. Получается, что основная часть субъектов ИС пользователи и администраторы одновременно и объект воздействия его часть как компонента и источник угроз. Может это "недоразумение" будет как-то устранено в новой редакции методики? Как говорится "поживём - увидим"... Не больше и не меньше. Поэтому давать ей какую-либо оценку пока рано. Откуда такое определение УБИ? Поэтому и вопросов, почему "пользователь" одновременно и "объект воздействия" и "нарушитель", не возникает.
Пример: "фишинг", конечно, можно классифицировать как "воздействие на ППО ИС например, почтовый клиент ", но... А что до "базового вектора", опять-таки пример: "Угроза несанкционированной подмены" сама по себе - это только направление воздействия, атаки, защиты, анализа без конкретики. Оная конкретика, в свою очередь, проявляется при указании "Объекта воздействия" с позиции нарушителя и "Объекта защиты" с нашей позиции , например, О. Впрочем, модуль поведенческого анализа подсказывает, что вас вновь интересует не семантика, а "строгость понятий и определений"... Интересовало просто "Откуда такое определение УБИ? Про "базовый вектор" понял, что нигде это регулятором не определено и оно является вашим вИдением.
Но при этом сейчас нет связи между угрозами и мерами. Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки».
А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз. Вот тогда модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз «документ ради документа» , он сам почувствует ее необходимость, так как это будет экономить деньги. А еще лучше, если угрозы будут увязаны не только с мерами защиты, но и необходимыми функциями безопасности, которые реализуются средствами защиты читай классами средств защиты. Тогда модель угроз станет бесценной. Также, важно найти такой критерий, который не является субъективным и при этом близок и понятен бизнесу ведь именно он дает деньги на обеспечение безопасности информации. Если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведет к такому-то финансовому ущербу, то восприятие и реакция будут совсем другими. Если посмотреть новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации возникновения угроз безопасности информации.
Это уже близко к риск-ориентированной модели и может стать критерием классификации угроз, вернее первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике.
Методика оценки угроз безопасности информации далее — Методика. Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация возникновение которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах далее — системы и сети , а также по разработке моделей угроз безопасности информации систем и сетей.
Анализ уязвимостей и оценка соответствия по ОУД4
Решение Solar inRights сертифицировано ФСТЭК России на соответствие требованиям ОУД 4 (Новости). Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS6 V3 или V3.1, размещенного в БДУ ФСТЭК России7. Новости БДУ ФСТЭК России Открыть. #Наука и технологии. Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Обрабатываются тексты всех редакционных разделов (новости, включая "Главные новости", статьи, аналитические обзоры рынков, интервью, а также содержание партнёрских проектов). Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).