ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

ФСТЭК лишила Palo Alto сертификатов за неисправленные уязвимости

Федеральная служба по техническому и экспортному контролю (ФСТЭК) сообщила об аннулировании ранее выданных разработчикам программ сертификатов соответствия. Причиной такого решения послужило наличие в продуктах непропатченных уязвимостей.

Соответствующее сообщение было опубликовано на официальном портале службы, согласно ему, ФСТЭК аннулирует выданные АО «РНТ» сертификаты на систему PAN-OS 4.0 для межсетевых экранов серий РА-4000, РА-5000, РА-500 и РА-2000, применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах организаций.

На сайте ФСТЭК также перечислены следующие уязвимые сертифицированные средства защиты информации:

  • операционная система PAN-OS 4.0 для МЭ серии РА-4000 (сертификат соответствия от 4 апреля 2012 г. N 2609);
  • операционная система PAN-OS 4.0 для МЭ серии РА-5000 (сертификат соответствия от 4 апреля 2012 г. N 2610);
  • операционная система PAN-OS 4.0 для МЭ серии РА-500 (сертификат соответствия от 28 апреля 2012 г. N 2632);
  • операционная система PAN-OS 4.0 для МЭ серии РА-2000 (сертификат соответствия от 28 апреля 2012 г. N 2633).

Утверждается, что разработчик, коим является Palo Alto Networks Inc., не выпустил обновления для PAN-OS 4.0, которые бы устранили бреши в уязвимых системах. Уязвимости получили критический уровень опасности.

«В соответствии с пунктом 10 Положения о сертификации средств защиты информации, ФСТЭК России принято решение об аннулировании выданных АО «РНТ» сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000 в Системе сертификации средств защиты информации по требованиям безопасности информации N РОСС RU.0001.01БИ00 (приказ ФСТЭК России от 23 января 2018 г. N 14)», — говорится в сообщении.

«Дополнительно сообщаем, что потребителям необходимо прекратить применение указанных изделий для защиты информации ограниченного доступа и обеспечить их замену на аналогичные средства защиты информации, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9».

Примечателен тот факт, что срок действия отозванных сертификатов Palo Alto Networks Inc. истекает в апреле этого года. В этом контексте действия ФСТЭК России выглядят достаточно странными.

При этом банк данных угроз ФСТЭК содержит информацию, что перечисленные выше уязвимости имеют исправление от производителя. Однако по требованиям ФСТЭК всем новым версиям с исправлениями также требуется пройти инспекционный контроль, что нецелесообразно для версий продуктов с истекающими сертификатами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т-Технологии тестирует формат bug bounty с упором на недопустимые события

Компания Т-Технологии (входит в экосистему Т-Банка) представила новую исследовательскую программу, которая выходит за рамки классического поиска уязвимостей. Теперь, помимо поиска технических багов, участникам предлагают тестировать так называемые «недопустимые события» — сценарии, проверяющие, насколько инфраструктура компании устойчива к критическим воздействиям.

Главная особенность программы в том, что она построена по принципу pay-for-impact: вознаграждение начисляется не просто за найденную уязвимость, а за демонстрацию сценария, который реально проверяет устойчивость ключевых систем.

Исследователям не ограничивают направления работы — они могут анализировать мобильные приложения, API, бизнес-логику, интеграции с партнёрами и другие части цифровой инфраструктуры.

Руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь объяснил идею так:

«Наша цель — не заменить классический баг-баунти, а дополнить его новым направлением. Мы хотим, чтобы исследователи искали комплексные сценарии, способные подтвердить защищённость систем на практике. Это делает безопасность более прозрачной и технологичной».

Пока программа работает в приватном режиме — принять участие в ней могут только приглашённые специалисты.

Ключевые параметры программы:

  • Платформа: Standoff Bug Bounty
  • Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящего к подтверждённому «недопустимому событию».
  • Размер выплат: до 3 млн рублей за выявление критического сценария, от 100 тыс. до 1,5 млн рублей — за промежуточные этапы в зависимости от сложности и влияния.
  • Промежуточные итоги: запланированы на 1 апреля 2026 года.

Что такое «недопустимые события»

Под ними понимаются сценарии, которые позволяют проверить, насколько критические компоненты инфраструктуры готовы к серьёзным инцидентам. Среди примеров:

  • попытки несанкционированного доступа к внутренним сервисам;
  • закрепление в базе данных с правами администратора;
  • внедрение кода в цепочку релизов продуктов;
  • обход систем защиты и мониторинга.

В чём новизна подхода

Новая программа делает акцент не на количестве уязвимостей, а на практической устойчивости инфраструктуры. Исследователи могут комбинировать разные векторы атак — от фронтенда до интеграций, — чтобы находить сложные цепочки. Все подтверждённые сценарии автоматически передаются в SOC и другие подразделения для проверки и усиления защиты.

«Для банков особенно важно не только находить уязвимости, но и подтверждать реальную защищённость систем. Мы надеемся, что такой подход станет стандартом для отрасли», — добавил Дмитрий Гадарь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru