Новости кибербезопасности за неделю с 31 марта по 6 апреля 2025
Все самое интересное из мира кибербезопасности /** с моими комментариями
1) Импортозамещение ПО: больше отечественного — меньше безопасности? За последние три года бизнес в России стремительно переехал с SAP и Oracle на 1С, локальные ERP и самописные системы. Казалось бы, контроль над кодом, свои разработчики, независимость. Но вместе с этим — рост уязвимостей, утечки данных и хаки через уязвимые CMS и CRM.
- Каждая вторая атака — с нарушением бизнес-процессов;
- «Битрикс» — в центре киберштурма;
- Самописные решения — максимум гибкости, минимум защиты;
- Кадров не хватает, патчи не выходят, риски растут.
/** Вроде очевидные вещи написаны, но добавлю от себя ещё несколько причин:
- Некоторые компании так "повысили" уровень своей безопасности, что теперь выпуск элементарного патча занимает месяцы, а не часы или дни. Бюрократия процветает;
- Безопасность - это дорого. Многие от бизнеса вообще этого не понимают. Как и не понимают, что безопасность - это прямые периодические затраты, при этом, очень косвенное влияние на выручку. Именно поэтому все так плохо с самописным ПО;
- В последнее время многие компании стали сокращать штат ИТ, куда часто попадают и сотрудники ИБ. Для меня - это вообще не понятная тенденция.
В общем - на словах все за безопасность, а на деле - все за максимизацию капитала, авось....
2) Отгрузки Группы «Астра» достигли 20 млрд рублей, что на 78% превышает показатель 2023 года. Выручка за тот же период выросла на 80% и составила 17,2 млрд рублей.
Как отметили в компании, столь высокие результаты во многом обеспечены более чем трехкратным ростом продаж продуктов экосистемы. В то же время выручка от продаж Astra Linux увеличилась на 35% в годовом выражении. Экосистемные продукты принесли более 5 млрд рублей, а доходы от услуг сопровождения превысили 2 млрд рублей. В ближайших планах компании — добиться того, чтобы экосистемные продукты обеспечивали не менее половины общей выручки.
/** Я рад, что российские компании, пользуясь санкциями, активно развиваются и инвестируют в развитие продуктов. Ещё лет 5 и российское ПО будет конкурентноспособно на мировых рынках. Ну а если санкции снимут раньше...
3) GitHub опубликовали интересный отчет о выявленных утечках конфиденциальных данных (ключи шифрования, пароли к СУБД и токены доступа к API) за прошедший год. В общем итоге было выявлено более 39 миллионов случаев подобных утечек.
Как правило, конфиденциальные данные оставляют в коде по недосмотру. Например, в репозиторий попадают файлы конфигурации с паролями к СУБД, а также прописанные в коде токены или ключи доступа к API, которые часто добавляют в процессе тестирования, но забывают удалить перед сохранением изменений в Git или не учитывают, что они могут остаться в сопутствующих файлах с ресурсами (например, могут остаться в предкомпилированном файле с байткодом, несмотря на удаление в исходном коде).
/** Хотелось бы, чтобы проверки на подобное осуществлялись при всех пушах в репозиторий автоматически и на всех тарифах, а не только на платных, как сейчас.
4) Минцифры РФ предложили рассмотреть инициативу по признанию деятельности исследователей уязвимостей.
Совет Федерации обратился к Минцифры с инициативой, направленной на правовое оформление деятельности специалистов, занимающихся выявлением слабых мест в IT-системах (белых хакеров). В частности, рассматривается идея узаконить так называемое «инициативное взаимодействие» между такими специалистами и владельцами цифровых ресурсов.
Эта модель предполагает, что исследователи смогут добровольно находить уязвимости и передавать информацию об этом, не опасаясь правовых последствий.
Документ датирован 25 марта и, среди прочего, касается деятельности специалистов, работающих с платформами по типу Bug Bounty, где находка уязвимости вознаграждается.
/** Уверен, что подобное право (искать уязвимости без риска правовых последствий) надо в первую очередь дать ВУЗам, которые готовят будущих сотрудников ИБ. Польза будет колоссальная для всех. Если меня читают в правительстве, подумайте над этим, пожалуйста.
5) Госдума приняла во втором и третьем чтениях законопроект о переводе субъектов критической информационной инфраструктуры на российское программное обеспечение (ПО). Закон, подготовленный правительством, вступит в силу с 1 сентября.
Цель инициативы - обеспечение технологической независимости и безопасности критической инфраструктуры. Будет определен порядок и сроки перехода субъектов на использование программ, сведения о которых внесены в единый реестр отечественного программного обеспечения.
Помимо этого, субъекты должны взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
/** Странно. Я почему-то был уверен, что подобный закон был принят уже давно. Лучше поздно, чем никогда.
6) Легендарный электронный журнал Phrack, которому в этом году исполняется уже 40 (!) лет, открывает приём заявок на публикации в новый номер. Заявки принимают до 15 июня, поэтому у вас есть время подготовить материал и оставить свое имя на страничке одного из старейших хакерских журналов. Выпуск будет посвящен 40-летию журнала: https://phrack.org.
Архив всех выпусков находится тут: https://phrack.org/issues/71/1
Безопасной вам недели!
Подписывайтесь на мой Телеграм!
Предыдущая неделя <-- week Sec News --> Следующая неделя