Архив за месяц: Июль 2022

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии)

1 комментарий

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Directory. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' contains a minimum number of devices, the 'first ring' roughly 1% of all endpoints in the corporate environment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed progressively, starting with the test ring and moving on to the larger sets of devices after a validation period that allows device performance monitoring and pre-update metrics comparison.
Windows Autopatch also has built-in Halt and Rollback features that will block updates from being applied to higher test rings or automatically rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defender for Endpoint (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-party все совсем не так тривиально. Patch Management все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-party в Defender for Endpoint, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.

Опять же о фидах, но уже о других

1 комментарий

Опять же о фидах, но уже о других. Учитывая текущую необходимость для компаний самостоятельно оценивать стабильность вендоров, безопасность используемых продуктов (как проприетарных коммерческих, так и СПО) и апдейтов для них, было бы правильно и полезно, чтобы результаты этих оценок были доступны в виде фидов. Лучше общедоступных конечно, но и платные были бы гораздо лучше чем текущее ничего. Какой смысл повторять одну и ту же весьма трудоемкую работу независимо в каждой организации?

То, что такую работу как минимум в части проверки апдейтов на НДВ вести весьма желательно видно из того же бюллетеня с рекомендательным алгоритмом НКЦКИ: "Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации".

Ещё очень порадовал формат выступлений на #KasperskyCyberCamp: все выступления строго по 20 минут или меньше

Добавить комментарий

Ещё очень порадовал формат выступлений на #KasperskyCyberCamp: все выступления строго по 20 минут или меньше. Включая время на вопросы. Даже панельки по 20 минут! Получается такой Fast track, но длиной во весь день. Очень ёмко и динамично. Докладчиков держит в тонусе и мотивирует убирать воду, а аудитория не успевает устать. Просто идеально. 🤩

Вопрос после моего выступления на #KasperskyCyberCamp был так-то в точку

Добавить комментарий

Вопрос после моего выступления на #KasperskyCyberCamp был так-то в точку. Про качество исходной информации по уязвимостям: CVSS, наличие и зрелость эксплоита и т.п. Мусора в NVD и других открытых источниках хватает. А если на основе неправильной информации принимать решение об обновлении, оно же неправильное может быть. Ну да, не поспоришь. Коммерческие фиды с аналогичной информацией об уязвимостях (от Kaspersky например 😏) будут лучше? Ну, возможно. Нужно щщупать, сравнивать, показывать, доказывать. 🙂 Ну и если действительно лучше, чем в NVD, то наверное было бы неплохо и в сторону сравнения с БДУ посмотреть и возможно её улучшения. 😉

Второй скриптик это реализация рекомендательного алгоритма НКЦКИ

5 комментариев

Второй скриптик это реализация рекомендательного алгоритма НКЦКИВторой скриптик это реализация рекомендательного алгоритма НКЦКИВторой скриптик это реализация рекомендательного алгоритма НКЦКИ

Второй скриптик это реализация рекомендательного алгоритма НКЦКИ. Сразу наглядно видно какие параметры нужны для принятия решение. Подаешь заполненный дикт на вход, получаешь вердикт стоит обновлять или не стоит, нужно ли повторять проверку через какое-то время или нет, а также шаг алгоритма на котором было принято итоговое решение (для отладки). Можно менять параметры и смотреть как результат меняется. На слайдах я меняю CVSS Base Score c 9 на 6, патчить все ещё надо, т.к. отказ сервиса влияет на бизнес, а СЗИ-шек для митигации не внедрено. Меняю параметр, что у нас есть СЗИ блокирующие эксплуатацию уязвимости и получаю ответ, что патчить не требуется.

Это в первую очередь мне нужно для демонстрации того какие теперь требуются дополнительные входные данные для VM процесса. Но в принципе можно и в реальных системах использовать.

Первый скриптик позволяет по заполненному опроснику (вероятность внешнего санкционного события, вероятности реакции на события, веса опасности реакций) оценить стабильность ИТ вендора

2 комментария

Первый скриптик позволяет по заполненному опроснику (вероятность внешнего санкционного события, вероятности реакции на события, веса опасности реакций) оценить стабильность ИТ вендораПервый скриптик позволяет по заполненному опроснику (вероятность внешнего санкционного события, вероятности реакции на события, веса опасности реакций) оценить стабильность ИТ вендораПервый скриптик позволяет по заполненному опроснику (вероятность внешнего санкционного события, вероятности реакции на события, веса опасности реакций) оценить стабильность ИТ вендора

Первый скриптик позволяет по заполненному опроснику (вероятность внешнего санкционного события, вероятности реакции на события, веса опасности реакций) оценить стабильность ИТ вендора. Для примера сделал заполнения для нескольких кейсов:

1. Локальный российский вендор, у которого все бизнес-интересы и активы в стране и на которой не повоздействуешь
2. Западный вендор, который старается санкции обойти, перевести дела в подходящую штаб-квартиру, заблочить только какую-то дополнительную незначимую функциональность для вида, но в случае формальных требований конечно закрутит гайки по полной
4. Западный вендор, который при появлнеии первых формальных требований блочит все по полной и рвет все связи
5. Западный вендор, который мало того, что все поблочит. так ещё и ваши данные передаст куда надо с понятно какими целями

В общем, фреймворк конечно крайне примитивный, но как POC сойдет. 🙂