Архив за месяц: Март 2023

Проект руководства по Vulnerability Management от ФСТЭК

8 комментариев

Проект руководства по Vulnerability Management от ФСТЭК

Проект руководства по Vulnerability Management от ФСТЭК. Уже в паблике. 26 страниц. (upd. после окончания сбора отзывов первоначальная ссылка перестала работать)

Что вас ждет внутри:

1. Общая схема VM-процесса и его связи с другими ИБ процессами организации
2. Перечень участников процесса и выполняемых ими операций
3. Подробное описание 5 этапов процесса, их схемы, описания операций:
3.1. Мониторинг уязвимостей и оценка их применимости
3.2. Оценка уязвимостей
3.3. Определение методов и приоритетов устранения
3.4. Устранение уязвимостей
3.5. Контроль устранения уязвимостей

Вещь абсолютно монументальная. Без шуток. Ничего более детализированного на тему VM-а я ещё не видел.

А вот будет ли это работать на практике? Зависит от нас и от наших правок:

"ФСТЭК России предлагает специалистам в области защиты информации заинтересованных государственных органов власти, организаций, субъектов критической информационной инфраструктуры рассмотреть проект методического документа и направить предложения по доработке указанного документа в соответствии с прилагаемой формой на адрес электронной почты otd22@fstec.ru.

Предложения и замечания по проекту методического документа принимаются до 17 апреля 2023 г."

Давайте все ознакомимся и дадим полезную обратную связь. Нам потом с этим жить и свои VM-процессы в соответствии с этими рекомендациями выстраивать.

upd. Мои посты-комментарии:

1. Читая проект руководства по Vulnerability Management от ФСТЭК. Процесс не для человеков.
2. О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями.

Cloud Advisor использует Vulristics для приоритизации уязвимостей

Добавить комментарий

Cloud Advisor использует Vulristics для приоритизации уязвимостей. Крутой пример интеграции моего опенсурсного проекта в коммерческое решение. 🙂 В данном случае в решение по контролю безопасности облачной инфраструктуры (CSPM). Vulristics выпускается под лицензией MIT, поэтому его можно свободно использовать в любом виде: как утилиту целиком, как отдельные функции, как методику и алгоритмы расчета критичности уязвимостей. Нет никаких требований по раскрытию производного кода или чего-то подобного.

Из пресс-релиза про новую Vulnerability Management функциональность в Cloud Advisor:

"Дополнительно для приоритизации используются алгоритмы инструмента Vulristics, которые учитывают различные факторы: наличие публичных эксплойтов, тип уязвимости, CVSS оценку и т.д. Это позволяет сконцентрировать внимание на исправлении тех уязвимостей, которые имеют реальный риск для инфраструктуры."

Если у вас большая инфраструктура в отечественных и зарубежных облаках и вы не знаете как и чем контролировать её безопасность, присмотритесь к Cloud Advisor. К слову, эта компания создана основателями Agnitum, олды должны помнить персональный файервол Agnitum Outpost - я активно пользовался в своё время. 🙂 Товарищи очень адекватные и скиловые.

Погонял, по случаю, ScanOVAL - бесплатный сканер уязвимостей от ФСТЭК

2 комментария

Погонял, по случаю, ScanOVAL - бесплатный сканер уязвимостей от ФСТЭК. На этот раз версию не под Linux, а под Windows (1.4.1). Делюсь впечатлениями.

1. Полезная штука, если качество детекта основного вашего СДУИ вызывает вопросы. Ставишь локально на тестовый хост ScanOVAL и качаешь OVAL-контент к нему, запускаешь, получаешь результаты, приводишь к листу CVE/БДУ идентификаторов, сравниваешься. Всё быстро, просто и бесплатно. Причем если зайти в VM-вендора с претензией "а вот решение X детектирует набор CVE совершенно отличный от того, что ваше решение детектирует для того же тестового хоста" можно получить отписку, что спрашивайте у вендора решения X, а у нас все правильно. В случае сканера от ФСТЭК так отмахнуться будет сложнее. 😏 Таким образом ScanOVAL можно рассматривать как эталонный сканер (не исключая, конечно, что проблемы могут быть и в нем).

2. Результаты работа сканера можно сохранить только в формате HTML. Довольно неожиданно. Но с другой стороны все парсабельно и жить можно. Основной идентификатор, по которому строится отчет, это БДУ. Но в отчете также приводятся ссылки на CVE, так что получить CVE-лист можно одним несложным grep-ом. Правда имейте в виду, что вам нужны именно строчки вида "CVE‑2023‑21716 (CVE)", если грепать просто регуляркой по CVE можно зацепить и описания вида "Уязвимость отлична от список CVE через запятую>".

3. В HTML отчете и GUI подтверждение почему уязвимость была продетектирована доступно в формате "путь до бинаря> (версия>)". В общем случае, конечно, дерево критериев OVAL в такую строчку не сворачивается. Но конкретно для OVAL-контента от АЛТЭКС-СОФТ возможно это и норм. Стандартные результаты в XML (OVAL Results) на самом деле тоже доступны. Лежат в C:\ProgramData\ScanOVAL, а именно в папке Temp. Там же есть и файл OVAL System Characteristics, и привычный OVAL HTML отчет, знакомый, например, по результатам OpenSCAP.

4. Нашел проблемку в руководстве по ScanOVAL. Декларируется, что программа может использоваться для "разработки и отладки описаний (определений) на языке OVAL". По факту сканер запускает только OVAL-контент подписанный ФСТЭКом. Если убрать из XML-контента тег с подписью и попытаться скормить контент ScanOVAL, то он его откажется запускать. Так что разрабатывать и отлаживать свой контент с помощью ScanOVAL не получится. Хотелось бы, чтобы либо описание поменяли, либо ограничение на запуск контента убрали (второе, безусловно, было бы гораздо предпочтительнее). 🙂

Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday

Добавить комментарий

Выпустил на выходных итоговый блогопост и видяшечку по мартовскому Microsoft Patch Tuesday. Приглашаю ознакомиться.

1. В целом, пока первые впечатления выглядят верными. Атака на хеши с помощью Outlook наиболее актуальна. Обход MOTW и DoS Excel хоть и эксплуатируются, но не особо пугают. Потенциально эксплуатабельные и wormable RCE в ICMP и, в меньшей степени, в HTTP/3 и RPC могут мощно стрельнуть, а могут и оказаться пшиком. Пока не ясно. Но лучше, конечно, заранее запатчиться.
2. Вокруг Microsoft Outlook (CVE-2023-23397) была политота. Microsoft начали разгонять про какие-то state-sponsored attacks с указанием конкретных стран и группировок. Это подхватили VM-вендоры в своих обзорах и таким образом это просочилось в отчет Vulristics. Пришлось всё это highly likely безобразие ручками подтереть.
3. Аж 7 RCE в Microsoft PostScript and PCL6 Class Printer Driver выглядят загадочно, но посмотрим во что это выльется. Кажется кто-то раскопал новую тему.
4. Заканчивается первый квартал. Во втором должны выложить подробности по SPNEGO. Ждем. 🙄
5. Похоже мои англоязычные avleonov.com и @avleonovcom в основном становятся про Patch Tuesday. 😅 Три последних поста были про это. Про другие темы что-то пока нет времени и желания туда писать, а тем более делать видяшку. Возможно разбавлю чем-нибудь, но вряд ли это будет до CISO Forum. Пока буду тратить ресурсы на подготовку к нему. Ну и вообще, "делать контент" на русском как-то пока больше нравится. Спасибо за ваш фидбек и поддержку! 🙂

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday

1 комментарий

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday

Обновил Vulristics отчет по мартовскому Microsoft Patch Tuesday. Появился публичный эксплоит для Denial of Service - Microsoft Excel (CVE-2023-23396). И подробное описание. Пока это действительно только DoS, но возможно и до RCE докрутят.

Для Remote Code Execution - ICMP (CVE-2023-23415) была пара ссылок на GitHub. Одна удаленная (404), а другая заблокированная ("Access to this repository has been disabled by GitHub Staff due to a violation of GitHub's terms of service"). Были ли там реальные эксплоиты или рикролы/малвари судить не берусь. Добавил обе ссылки в исключения в Vulristics.

Ссылка на отчет та же.

Платные обновления безопасности для актуальных версий Ubuntu

Добавить комментарий

Платные обновления безопасности для актуальных версий Ubuntu

Платные обновления безопасности для актуальных версий Ubuntu. Рекомендации в бюллетенях Ubuntu поставить ESM (Expanded Security Maintenance) версий пакетов доступные с платной подпиской это дело обычное. Как правило, это касается End of Life (EOL) версий Ubuntu. С 30 апреля EOL будут все версии ниже Ubuntu 18.04 (Bionic Beaver) включительно. Всё честно. Обновитесь на новую версию дистриба, будут вам безопасные версии пакетов, не можете - платите.

С появлением подписки Ubuntu Pro стало интереснее. Вот 2 USN бюллетеня с ESM пакетами для Ubuntu 20.04 (EOL Apr 2030):

USN-5273-1: RPM Package Manager vulnerabilities
USN-5160-1: Midnight Commander vulnerability

Пишут, что эти обновления доп. фича и без Ubuntu Pro их бы вообще не было - радуйтесь. По факту это значит, уязвимость в пакете из репозитория есть (тот же Scanvus продетектит), версия дистриба актуальная, исправить уязвимость без платной подписки нельзя. А Canonical подписки компаниям из РФ не продает. 🤷‍♂️

Конференция по ИБ ISCRA Talks 2023 в Бауманке

1 комментарий

Конференция по ИБ ISCRA Talks 2023 в Бауманке

Конференция по ИБ ISCRA Talks 2023 в Бауманке. Пройдет 15 мая. CFP и регистрация участников открыты до 8 мая.

Подумал, что помимо всего прочего ISCRA Talks может стать точкой притяжения для ИБшников, учившихся в МГТУ в разные годы (ИУ8, ИУ10 и др.). Обычные встречи выпускников это уныло. А тут можно совместить приятное с полезным: поспособствовать развитию практического ИБ-движа в стенах альма-матер, узнать что-то новое для себя, похантить, понетворкиться, поностальгировать немножк. 🙂

Чтобы мероприятие ширилось и крепло можно сделать следующее:

- закинуть в ваш корпоративный чатик/HR/DevRel, что есть интересное мероприятие от крутых ребят перспективное в т.ч. для продвижения HR-бренда и хантинга. Есть смысл поучаствовать-поспонсировать
- податься самому с докладом/мастерклассом/стендом с заданием
- прийти в качестве участника
- пошарить информацию о конфе в соцсеточках (особенно в группах и чатиках с бывшими одногруппниками!)

Spread the word! 😉