Архив за месяц: Март 2023

Чем хороши отчетные мероприятия?

Чем хороши отчетные мероприятия? Такие как выступления на конференциях. Тем, что они имеют четкий дедлайн. Выступать придется, нужно добивать заявленную тему. 🙂 В моём случае неотвратимо приближающийся CISO Forum мотивирует доделать-таки карту отечественных около-VM-ных вендоров. Она сейчас готова на 1/6 и это ещё без учета презентации. А времени осталось чуть больше месяца.

Добавлю немного интерактивчика. Ниже свечу предварительный набор вендоров/решений для оставшихся категорий. Если вам кажется, что каких-то вендоров/решений там не хватает (или наоборот лишние), то дайте знать (см. описание категорий). Краткие характеристики решений, которые будут на карте, я стараюсь по возможности согласовывать с представителями вендоров, чтобы не было недопонимания. Для некоторых вендоров у меня контактов сейчас нет (они помечены *). Если подскажите на кого лучше по этому поводу выйти, буду благодарен. Написать можно в личку тг @leonov_av, в комментарии поста в вк или в личку в вк. Спасибо!

2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)
Metascan
СКАНФЭКТОРИ
Group-IB - Attack Surface Management
BIZONE - Continuous Penetration Testing

3. Средства Детектирования Уязвимостей Приложений (СДУП)
Positive Technologies - BlackBox, Application Inspector
* Стингрей
* Pentestit - Nemesida Scanner
* Ростелеком Солар - Solar appScreener

4. Средства Детектирования Уязвимостей Кода (СДУК)
Positive Technologies - Application Inspector
* Стингрей
* Ростелеком Солар - Solar appScreener
* InfoWatch - Appercut
* ИСП РАН
* PVS-Studio
Codescoring
Эшелон - AppChecker Cloud

5. Средства Анализа Уязвимостей (САУ)
R‑Vision SOAR
SECURITM

6. Средства Исправления Уязвимостей (СИУ)
Kaspersky

С международными женским днём!

С международными женским днём!

Пользуясь случаем, хотел бы отреспектовать всем женщинам, работающим в области ИБ, особенно в Vulnerability Management! Желаю комфортных условий труда, справедливой его оплаты, равных карьерных возможностей! Спасибо, что вы есть! 👩‍💻

Прочитал пост в блоге Rapid7 про разницу "Vulnerability Assessment" и "Vulnerability Management"

Прочитал пост в блоге Rapid7 про разницу "Vulnerability Assessment" и "Vulnerability Management".

О различии между VA и VM они пишут так: "Однако ключевое различие между ними заключается в том, что управление уязвимостями представляет собой непрерывный цикл, включающий vulnerability assessment. Там, где VA идентифицирует и классифицирует риски в вашей сетевой инфраструктуре, VM делает шаг вперед и включает решения о том, следует ли устранять, смягчать или принимать риски. VM также занимается общим улучшением инфраструктуры и созданием отчетов." Дальше просто описание VM-цикла от Gartner, который в жизни не встречается, уже разбирали его.

Люблю, когда люди хотят подчеркнуть большую разницу, чтобы продать свою дорогую VM-пепяку, а в итоге выходит, что как таковой разницы и нет. Если вы надетектили уязвимости как-то и приняли решение, что с ними дальше делать (устранять, смягчать, оставить как есть) и сделали отчет для начальства, то поздравляю, это уже Vulnerability Management. Как минимум исходя из поста в блоге Rapid7. 😉

Ещё порадовало, в Vulnerability Assessment они включают и детектирование уязвимостей в людях. "Эти уязвимости обычно относятся к одной из трех категорий: […] Человеческие. Эти уязвимости связаны с проблемами безопасности пользователей, такими как слабые (или утекшие) пароли, нажатие ссылок на вредоносных веб-сайтах и человеческие ошибки, такие как открытие фишингового электронного письма. Из трех категорий командам NetOps зачастую труднее всего контролировать и обеспечивать соблюдение требований для этой категории." Получается мешать VA/VM и Антифишинг это уже не придурь одного шведского VM-вендора, а уже почти мейнстрим. 😆

А вот и эксплоит для Remote Code Execution – Microsoft Word (CVE-2023-21716), которую я подсвечивал в февральском Patch Tuesday

А вот и эксплоит для Remote Code Execution – Microsoft Word (CVE-2023-21716), которую я подсвечивал в февральском Patch Tuesday

А вот и эксплоит для Remote Code Execution – Microsoft Word (CVE-2023-21716), которую я подсвечивал в февральском Patch Tuesday. Тут подробности. Об этой уязвимости писали, что она эксплуатируется через панель предварительного просмотра Outlook. Хороший повод форсировать патчинг, если вы пока ещё нет.

PS: У Joshua J. Drake очень классный сайт. 👍

Тренды/драйверы Vulnerability Management рынка

Тренды/драйверы Vulnerability Management рынка. Пару месяцев назад попросили накидать. С моей колокольни выглядит как-то так:

1. Изменение IT-ландшафта в странах в силу геополитических изменений. Соответственно меняются и ожидания того какие продукты должны поддерживать VM решение.
2. База знаний VM вендора должна быть анализируемой. Для того, чтобы понимать можем ли мы в достаточной мере детектировать уязвимости, нужно знать что на самом деле умеет и не умеет VM решение.
3. Не будет одного VM-решения, которое продетектирует все уязвимости. Разные части инфраструктуры придется покрывать разными решениями. Детектирование уязвимостей отделяется от анализа, приоритизации и исправления.
4. Правильная инвентаризация активов. В организациях сейчас слишком много разнообразных активов. Для эффективного VM-а нужно покрыть их все. Причем необходимо понимать можем ли мы детектировать уязвимости для актива и если не можем, то что с этим делать? В качестве вариантов: покупать или разрабатывать механизмы для детекта, выводить актив из эксплуатации, принимать риски.
5. Правильная приоритизация уязвимостей. Слишком много CVE, слишком мало actionable информации. Необходимо уметь отличать экспулатабельное от неэксплуатабельного. Как это сделать непонятно, но видимо необходимо лучше работать с объектами относящимися к уязвимостям, в первую очередь с эксплоитами и сообщениями об атаках.
6. Автоматическое обновление активов. Дилемма: если не обновлять автоматом, это нагружает IT-администраторов массой однообразной работы, если обновлять автоматом, то непонятно кто будет нести ответственность в случае если что-то сломается. Решение: изменение архитектуры, чтобы обновляться было проще, обновляться постепенно, начиная с тестовых хостов.
7. Если не обновление, то что? Для уязвимостей VM решение должно знать набор компенсирующих мер, уметь их детектировать и желательно автоматически применять.
8. Обоснование комплаенс-требований. Для большей части CIS контролей не ясно как детектируемые мисконфигурации могут использовать злоумышленники в реальных атаках. Отсюда скепсис.

Эксплоиты к Osprey Pump Controller

Эксплоиты к Osprey Pump Controller

Эксплоиты к Osprey Pump Controller. Если вы подписаны на @avleonovnews, вы наверное видели, что всю неделю в #DailyExploits попадали эксплоиты для Osprey Pump Controller из разных сплоит-паков. Все от македонского исследователя Gjoko 'LiquidWorm' Krstic, zeroscience.mk.

Osprey Pump Controller это решение для автоматизации полива от американской компании ProPump & Controls (не уверен, что это вендор, но больше нигде не упоминается). Эксплуатируемых уязвимостей у него как у DVWA. Самое смачное захардкоженная админская учетка admin/Mirage1234. Также есть и RCE. К тому же Osprey Pump Controller выставляют прямо в интернет и они индексируются и тривиально ищутся в Google. 🤷‍♂️

"For our customers with limited budgets, we can supply our versatile new Osprey controller integrated into a complete control package at eye opening prices."

Не знаю уж что там по ценам, но владельцы уязвимых устройств вполне вероятно получат теперь "eye opening" опыт в области ИБ. 😏

Результаты довольно неожиданные

Результаты довольно неожиданные.

1. Больше трети с iPhone. Успешные обеспеченные люди читают, можно рекламу продавать задорого. 😏
2. Людей, которые не заходят со смартфона в Интренет-банки тоже несколько больше, чем ожидалось. 🙂

Про отказ от использования смартфонов для доступа к Интернет-банкам. Есть дискуссионный вопрос что безопаснее:
доступ с доверенного десктопа через web-интерфейс + второй фактор из смс (возможность перехвата, перевыпуска симкарты и т.п.)
или
доступ через мобильное приложение + второй фактор из пуша ("второй", т.к. прилетает на то же возможно скомпрометированное устройство 🙃).
Подискутировать, при желании, можно в VK-шечке.

Имхо, лучше всего доступ с доверенного десктопа через web-интерфейс + одноразовый код из приложения-аутентификатора на смартфоне (а если из хардварного токена - просто идеально). Но в реальной жизни чаще приходится выбирать из предыдущих двух опций и тут уже пусть каждый сам для себя риски оценивает. 😉