На PHDays в этом году я рассказывал о мониторинге стабильности ИТ/ИБ вендоров и рекомендательном алгоритме НКЦКИ. На этой неделе тоже буду выступать на по ИБ мероприятии со схожей темой, но постараюсь расширить и углубить. По случаю сделал на github-е проект Monreal и немного покодякал там. Monreal потому что МОНиторинг стабильности вендоров и РЕкомендательный АЛгоритм НКЦКИ. 😉
Ещё вспомнил хохму из из институтских времён. У нас были лабы по плюсам: GUI, межпроцессное взаимодействие, всякое такое. Естественно все исключительно под Windows в Visual Studio, обмазовшись Соломоном-Руссиновичем, MSDN-ом и не помню чем ещё. Кто-то из нашей группы резонно спросил у преподавателя: "а чего такой фокус на Windows-то, может Linux для разнообразия?" Ответ был в духе, что Linux это конечно замечательно, но большинству из нас по работе придется кодить GUI приложения под винды. Так-то спасибо конечно, что не Фортран и не Паскаль, но все же лол. 🙂 Это был год 2004-2005 где-то. Сейчас вроде стало намного сбалансированнее, но тогда было вот так. ИУ-8, привет.
Про отключение обновлений это пока фальстарт, но 3 абзац в точку. Помним-помним как это навязывалось.
"Дело происходило в ГД РФ, собрали всех кто относился к индустрии. Выступала Ольга Дергунова от Микрософта (сейчас прекрасно работает в ВТБ) и рассказывала как компания, евангелистом которой она является, будет нежно любить страну и бесплатно (ну почти) поставлять программное обеспечение для школ. И всего то надо принять антипиратские законы (помните Горбушку ?) и будет стране счастье. Никаких рисков нет, ибо это бизнес и представить себе что Микрософт будет по приказу правительства США отключать программное обеспечение - невозможно. Только коммунисты требовали отказаться от микрософтивизации государства. Они говорили что рано или поздно нас будут шантажировать отключением от сервисов. На тот момент нам всем казалось что коммунисты немного сошли с ума. Но как показала жизнь, как и стоящие часы показывают дважды в день правильное время, так и коммунисты тогда были совершенным образом правы."
Тут добавил комментарии на русском из черновиков и тайминг. Все в дело 😊 https://youtu.be/jgKK9ovlNFU
Active Vulnerabilities
01:31 🔴 “CISA warns of hackers exploiting PwnKit Linux vulnerability (CVE-2021-4034)” by BleepingComputer
// Не только американцам это нужно быстро патчить.
03:14 🔴 “Atlassian Confluence OGNL Injection Remote Code Execution (RCE) Vulnerability (CVE-2022-26134)” by Qualys
// В статье Qualys приводят описание OGNL Injection, RCE Payload, Exploit POC, Exploit Analysis и Source Code Analysis. Это подробная техническая статья. Если вам интересно как такие уязвимости эксплуатируются и детектируются, посмотрите этот пост.
Data sources
05:27 🟠 “New Vulnerability Database Catalogs Cloud Security Issues” by DarkReading & Wiz
// Непонятно насколько действительно нужна отдельная база данных. Кажется это все можно было бы оформить как CVEs. Тем более, что у многих уязвимостях в этой базе уже есть CVE IDs. Но инициатива хорошая. Лишний раз доказывает, что у MITRE и NVD есть проблемы.
Analytics
07:23 🟢 “MITRE shares this year’s list of most dangerous software bugs (CWE Top 25)” by BleepingComputer
// Похоже на правду, хотя 'OS Command Injection' кажется должно быть выше. Ну и надо понимать, что CWE идентификаторы присваюваются уязвимости вручную и поэтому тут могут быть ошибки классификации. Но все равно любопытно.
09:06 🟠 “Cyberattacks via Unpatched Systems Cost Orgs More Than Phishing” by DarkReading & Tetra Defense
// Хорошее замечание в статье: "Data on successful compromises can help companies determine the most critical attack vectors to address, but it should be noted that the conclusions depend greatly on the specific incident-response firm". Но то, что MFA и патчинг это важно - не поспоришь.
11:07 🔴 “Zero-Days Aren’t Going Away Anytime Soon & What Leaders Need to Know” by DarkReading & Arctic Wolf
// Ну, в целом не попоришь. Моё мнение - пока критичные известные уязвимости на исправляются оперативно, думать о Zero-Days преждевременно. А так, это конечно в первую очередь задача SOC.
VM vendors write about Vulnerability Management
13:57 🟡 “Why We’re Getting Vulnerability Management Wrong” by DarkReading & Rezilion
// Это давнишний спор: стоит ли исправлять уязвимости в софте, который в настоящий момент не запущен? Ну и обычно на это отвечают да. Потому что никто не может гарантировать, что софт вдруг не начнет запускаться. Но если будет возможность выделить среди критичных уязвимостей уязвимости, в софте, который уже запущен или регулярно запускается, то это хороший испточник данных для дополнительной приоритизации. Почему бы и нет. Хорошо, что Rezilion это подсвечивают.
16:41 🔴 “Risk-based Remediation Powered by Patch Management in Qualys VMDR 2.0” by Qualys
// На самом деле давно было интересно что же нового в Qualys Vulnerability Management, Detection and Response. В целом, это похоже на Tenable vulnerability priority rating (VPR). Наверное и формируется примерно так же. Но про техническое подробности TruRisk надо будет искать где-то в другом месте. Я согласен с тем, что фокус VM должен быть именно на Remediation и хорошо, что Qualys продвигают эту тему. Достаточен ли объем новых фич, чтобы называть это VMDR 2.0? Пока это не кажется так. Кажется, что если бы Remediation был полностью автоматизирован для 100% хостов (что требует принципиально другого подхода к тестированию работоспособности после патча), то тогда это было бы 2.0. Но маркетологам Qualys виднее.
20:37 🟢 “Modern IT Security Teams’ Inevitable Need for Advanced Vulnerability Management” by Threatpost & Secpod
// Дается список проблем и для преодаления этих проблем нужен Advanced Vulnerability Management от Secpod. В целом, список справедливый и то, что они обращают внимание на vulnerabilities beyond CVEs кажется мне очень правильным.
22:25 de-Westernization of IT
см.выше https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями.
Есть следующая дилема. С одной стороны создание таких обзоров требует свободного времени, которое можно было бы потратить на что-то более полезное. Например на работу над своими опенсурсными проектами или ресерчами. Действительно, если ты заинтересовался в какой-то теме, сконцентрируйся на ней и сделай эпизод только об этом. С другой стороны, есть аргументы и за новостные обзоры. Отслеживание новостей это часть нашей работы как специалистов по уязвимостям и по безопасности вообще. И желательно не только заголовков. Я обычно отслеживаю новости используя мой автоматически наполняемый канал @avleonovnews. И выглядит это так: я вижу что-то интересное в канале, копирую это в Saved Messages, чтобы потом почитать. Читаю ли я это? Ну обычно нет. Поэтому создание новостных обзоров мотивирует разбирать Saved Messages и прочитывать новостные посты. Также как создание обзоров Microsoft Patch Tuesday мотивирует меня смотреть что там происходит. В общем, кажется есть смысл сделать новый заход. Поделитесь в комментариях что вы об этом думаете. Ну и если вы хотите поучаствовать в отборе и обсуждении новостей, я тоже буду рад.
Я взял 10 новостей из Saved Messages и разделил их на 5 категорий:
1) Активные Уязвимости
2) Источники данных
3) Аналитика
4) VM вендоры пишут про Vulnerability Management
5) Девестернизация IT
Video: https://youtu.be/jgKK9ovlNFU
Video2 (for Russia): https://vk.com/video-149273431_456239095
Blogpost: https://avleonov.com/2022/07/06/vulnerability-management-news-and-publications-1/
Продолжаем тему отечественных ОС. Базальты выпустили новую версию Simply Linux. Дистриб все ещё бесплатный. Теперь позиционируется не только для домашних пользователей, но и для мелкого и среднего бизнеса. Что круто. Возникает вопрос: а как же тогда компания будет бороться с тем, чтобы этот дистриб не мешал продаже основных продуктов? Похоже вот так:
"Надо отметить, что Simply Linux не включена в Единый реестр российского ПО, поскольку предназначена для массового использования".
Формулировочка крышесносная. 🙂🤯 Но насколько я понимаю это значит, что если вам нужна отечественная ОС для комплаенса, то вот фигушки. 😉
Ещё ограничение для монетизации: "Системным интеграторам, дистрибьюторам и OEM-производителям для получения прав на распространение следует обращаться в «Базальт СПО» по адресу sales@basealt.ru для заключения письменного договора".
В общем, занимательная штука. Я не пробовал, но надо будет поиграться.
Евгений Касперский на Иннопром-2022 анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям" от ЛК. Технических подробностей нет, сроков нет.
Но так-то интересно куда эта тема с ОС приведет. Пока видятся варианты:
1. Достаточный уровень поддержки от MS/Apple/Google сохранится и все останется более-менее как было.
2. Западные вендоры ОС продолжат ухудшать уровень поддержки и значительно затруднять работу. Настанет вынужденный год Linux на десктопе. 🙂 Linux дистрибы при этом этом будут мейнстримные. Там, где не Linux, там будет варез и костыли от кулибиных.
3. Мейнстримные Linux дистрибы также также начнут жестко вставлять нам палки в колеса. Отечественные сертифицированные ОС от текущих игроков станут массово использоваться как сегодня Ubuntu/Debian/CentOS Stream и прочее. Естественно тоже вынужденно.
4. Окажется, что существующие сертифицированные ОС не обеспечивают достаточный уровень стабильности и защиты, и это создаст предпосылки для прихода новых игроков с достаточными ресурсами, скилами и заинтересованностью, чтобы уже сделать красиво. Кажется, что такие игроки это российский IT/ИБ крупняк, в том числе ЛК.
Я здесь почти намеренно мешаю все в кучу, потому что честно расписывать муторно. Но в целом ощущения какие-то такие. Пока все ещё скорее верится в 1-2 вариант. Но уверенности нет никакой.