Apple динамит Kaspersky с выплатой $1 млн за zero-click в iOS

Apple динамит Kaspersky с выплатой $1 млн за zero-click в iOS

Apple динамит Kaspersky с выплатой $1 млн за zero-click в iOS

Apple не хочет выплачивать специалистам «Лаборатории Касперского» полагающееся вознаграждение за обнаруженные в iOS уязвимости, позволяющие использовать недокументированные фичи Apple CPU для установки шпионского софта на iPhone.

Об этом изданию RTVI рассказал Дмитрий Галов, возглавляющий российский исследовательский центр Kaspersky.

Напомним, громкая шпионская операция затронула сотрудников «Лаборатории Касперского». «Операция Триангуляция», как её назвали эксперты, использовала недокументированные функции в процессорах Apple для обхода аппаратных средств защиты.

В июне прошлого года Apple выпустила патчи, устраняющие три уязвимости нулевого дня (0-day), которые использовались в шпионской кампании.

К слову, «Операцию Триангуляция» мы подробно разобрали в нашей статье «Операция Триангуляция: подробности, уроки, последствия». Помимо прочего, там есть технические нюансы кампании.

К сожалению, у руководства Apple, видимо, с порядочностью дела обстоят не очень, поскольку специалистам Kaspersky отказали в вознаграждении по весьма надуманной причине — внутренняя политика.

«Яблочный» техногигант, по словам Галова, даже отказался перечислить эту сумму на благотворительность. Согласно правилам программы Apple по поиску уязвимостей (Bug Bounty), размер вознаграждения за такие бреши составляет миллион долларов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

BI.ZONE Consulting ускоряет анализ киберрисков в три раза

Компания BI.ZONE Consulting обновила услугу по комплексному управлению киберрисками. По оценке специалистов, сейчас около 60% организаций не способны точно оценить масштаб возможного ущерба от киберинцидентов. Это приводит к неожиданным расходам, штрафам и репутационным потерям.

Обновлённый подход сочетает международные стандарты (ISO/IEC 27001, ISO/IEC 27005, ISO 31000 и др.) и требования российских регуляторов (ПП-127, 716-П и т. п.).

Теперь сервис позволяет:

  • учитывать влияние киберугроз на операционную деятельность;
  • ускорять выявление и анализ рисков минимум в три раза;
  • классифицировать сценарии нарушений по критичности последствий;
  • переводить потенциальный ущерб в конкретные категории — от штрафов до простоя производства.

Кроме того, в обновлении добавлены:

  • Автоматизированная оценка рисков — формирование сценариев угроз на основе ISO 27005.
  • Стратегический подход — трёхлетние циклы управления с KPI и ежегодной корректировкой стратегии под актуальные угрозы.
  • Финансовая привязка — определение риск-аппетита компании и сопоставление его с мерами защиты и бюджетом.
  • Соответствие регуляторам — автоматизация процессов, связанных с исполнением 716-П, ПП-127 и других требований.

По словам руководителя направления Тимофея Полякова, компании часто распределяют бюджеты на ИБ неэффективно: до 80% уходит на реагирование, а не на профилактику. В итоге бизнес сталкивается с неожиданными штрафами и потерями. Новый подход, отмечает он, помогает руководителям принимать решения на основе данных и лучше увязывать безопасность с финансовыми результатами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru