Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

CSAM от Positive Technologies

CSAM от Positive Technologies

CSAM от Positive Technologies. Посмотрел 2 выступления про Asset Management с PSDay. Если совсем коротко, то было сказано много очень правильных слов про то, что Asset Management это основа практически всех IT-шных и ИБшных процессов (включая управление уязвимостями и инцидентами). Непрерывное детектирование, инвентаризация и классификация разнообразных активов (не только сетевых хостов) это сама по себе важная работа. Главные моменты выступлений, на мой взгляд это то, что:

🔻 Анонсировали новое направление по управлению активами. Выделили команду. Отстраиваются от класса CSAM (CyberSecurity Asset Management). Продукт такого класса есть у одного западного VM-вендора, что +- даёт представление на что это может быть в итоге похоже.

🔻 Представили ранний драфт интерфейса. На нём показана некоторая таблица активов: ОС, скоринг актива, теги, группы, в которые он входит, инструменты безопасности на данном активе и т.д.

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷‍♂️

Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.

"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."

🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.

Карта, Территория и Управление Уязвимостями

Карта, Территория и Управление Уязвимостями

Карта, Территория и Управление Уязвимостями. Известное выражение "Карта не есть территория" можно интерпретировать как то, что описание реальности не является самой реальностью.

В контексте VM-а реальность (территория) это всё множество существующих в настоящий момент уязвимостей во всём множестве программных и аппаратных средств. А базы уязвимостей, включая NVD и БДУ, это попытка эту реальность в какой-то мере отобразить (составить карту).

Эта карта неполная и искажённая. Но она позволяет хоть как-то выполнять полезную работу - детектировать и устранять уязвимости. 👨‍💻

В эту карту даже можно натыкать красных флажков, обозначив самые критичные уязвимости. 🚩 И ничего в этом плохого нет.

Плохое начинается, когда натыканные в сомнительную карту флажки выдаются за истину в последней инстанции: "устраняйте только эти 2% уязвимостей и будете в безопасности". Это то ли невероятная гордыня, то ли невежество. 🤷‍♂️ Осуждаю.

Приоритизируйте устранение уязвимостей, но устраняйте их все.

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTION

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTIONВпечатления от R-Vision VM на конференции R-Vision R-EVOLUTION

Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTION. По сравнению с прошлым годом, прогресс налицо. 👍 Если в MVP сканера прошлого года угадывался OpenSCAP с готовым OVAL-контентом от Linux-вендоров, то в этом году видно, что разработкой контента для детектирования уязвимостей занялись всерьёз.

🔹 Команда разработки базы уязвимостей уже 20 человек в 4 группах.

🔹 Количество правил детектирования >300000. В том числе поддержка Windows и >100 распространенных 3d party софтов.

🔹 Представители команды подробно рассказывают про процесс разработки правил детектирования: как используют модифицированный OVAL, "патчат" ошибки в критериях наличия уязвимостей в бюллетенях вендоров и т.п.

В интерфейсе понравился расчёт критичности уязвимости в зависимости от типа хоста (говорят, что по методике ФСТЭК).

В роадмапе на 2025 год интересен безагентный Compliance с пользовательскими проверками, поддержка контейнеризации и Web-сканер.

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру. Посмотрел вчера презентацию этого нового продукта на Positive Security Day. В чём суть? Продукт заявлен как BAS (Breach and Attack Simulation). Но не такой BAS, который рисует теоретически возможные цепочки атак с учётом сетевой связности и продетектированных уязвимостей. Нет! Это решение непосредственно эксплуатирует уязвимости в инфре как хакер или пентестер.

Это и позиционируется как автоматический пентест, который можно запускать постоянно (а не раз в год), прорабатывая ни 1-3 вектора, а столько сколько потребуется и на всей инфре.

Можно возразить, что такая активность инфру положит. Но это не так! Очень большое внимание уделяют безопасности и контролируемости. Чтобы все сколько-нибудь опасные операции согласовывались, скоуп чётко ограничивался, действия логировались. Продукт даже "убирает мусор" за собой. 🙂

➡️ Канал разрабов

Сегодня на конференции R-Vision R-EVOLUTION

Сегодня на конференции R-Vision R-EVOLUTION
Сегодня на конференции R-Vision R-EVOLUTION

Сегодня на конференции R-Vision R-EVOLUTION. Спасибо большое коллегам за приглашение! 🙂 Если тоже тут, приходите пообщаться про VM.