Архив за месяц: Апрель 2023

Про сканер уязвимостей в Yandex Cloud

Добавить комментарий

Про сканер уязвимостей в Yandex Cloud

Про сканер уязвимостей в Yan­dex Cloud. На днях были новости, что Yan­dex открыл доступ к своему сканеру уязвимостей. Из этих новостей было не очень понятно что за сканер, для чего сканер. Но я нашел первоисточник — блогопост на сайте Яндекс Клауда.

1. Речь о сканере для Dock­er-образов, интегрированный в сервис Yan­dex Con­tain­er Reg­istry. Это аналог Aqua Trivy, Clair, Fal­co, Dock­er scan. Ну и моего Scan­vus-а. 🙂 И видимо имеется ввиду Сканер уязвимостей описанный в документации, поддерживающий Alpine, Cen­tOS, Debian, Red­hat, Ubun­tu в качестве ОС, на которых могут быть собраны пользовательские Dock­er-образы.

2. В чем преимущество: "Чтобы использовать сканер уязвимостей Yan­dex Cloud, не требуется выделять дополнительную инфраструктуру, обслуживать её, заниматься разворачиванием и поддержкой продукта или глобально менять процесс выкладки кода. "

3. Описание сканера частично понятно, детект по пакетам: "по результатам сканирования образа пользователь получает отчёт об уязвимостях, обнаруженных в конкретных пакетах ОС, и о версиях этих пакетов с исправлениями, если такие имеются". А то, что понимается под "сканер уязвимостей с использованием статического анализа" — загадочно.

4. Уровни сканирования: реестра целиком и выбранных репозиториев. Сканирование отдельных образов и фильтрации по тегам пока нет, но обещают.

5. Сколько стоит: "Первые шесть первичных и шесть последующих сканирований бесплатны. Начиная с седьмого раза нужно будет платить: за каждое первичное — 13,2 рубля, а за последующее — 7,2 рубля."

Ещё раз про EPSS Probability и EPSS Percentile

Добавить комментарий

Ещё раз про EPSS Probability и EPSS Percentile

Ещё раз про EPSS Prob­a­bil­i­ty и EPSS Per­centile. В одной соцсеточке для профессионального общения от компании Microsoft меня увещевают отказаться от ереси и все-таки использовать EPSS Prob­a­bil­i­ty в Vul­ris­tics вместо EPSS Per­centile. 🙂 Кажется имеет смысл продолжить тему.

1. Про разницу между Prob­a­bil­i­ty и Per­centile, как их понимать и интерпретировать, есть подробная статья на официальном сайте. Вопрос: можно ли как-то получить из EPSS уровни критичности а‑ля CVSS Base Score. Ответ: нет, нельзя. "По этим причинам EPSS в настоящее время не группирует результаты EPSS с использованием ярлыков" ("For these rea­sons, EPSS does not cur­rent­ly bin EPSS scores using labels"). В своём праве.

2. То, что они генерят в виде EPSS Prob­a­bil­i­ty, "вероятности эксплуатации", это просто очень маленькие цифири из нейронки, которые непонятно как сравнивать адекватно. Они даже в тех примерах, которые я рассматривал, маленькие. EPSS-ники сами об этом пишут в статье "Например, как пользователи должны интерпретировать общую важность (over­all impor­tance) уязвимости с вероятностью 0,212? Или, по-другому, как мы должны думать о сравнении относительной разницы в угрозе между вероятностью 0,115 и 0,087? Да, одна больше другой, но насколько больше? Насколько велика разница в угрозе первой уязвимости по сравнению со второй?" Для прошлого Patch Tues­day EPSS Prob­a­bil­i­ty для всех уязвимостей, была между 0 и 0.2 (0–20%). Даже для уязвимостей с отмеченной эксплуатацией в CISA KEV! Это с каким же весом мне надо брать эти значения, чтобы они хоть как-то влияли на итоговый скор? 🙂

3. Ну да, EPSS Per­centile это результат ранжирования уязвимостей по EPSS Prob­a­bil­i­ty, величина искусственная и зависит от общего числа CVE. И она меняется со временем, так же как и EPSS Prob­a­bil­i­ty. Ну так и в чем проблема? EPSS Per­centile это тоже какая-то искусственная величина из нейронки полученная. По EPSS Per­centile хотя бы видно как эта нейронка оценивает конкретную уязвимость относительно всех остальных. То, что нам собственно и надо. 😉 И тут более-менее понятно, есть 0.8–1, то критично, а если 0–0.2 это фигня какая-то. Ну, в идеале. Потому что на практике, как я уже подсвечивал, бывают странности.

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по последним новостям Vul­ris­tics для англоязычного канала и блога.

00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vul­ris­tics
05:12 Интеграция Vul­ris­tics в Cloud Advi­sor

Video: https://youtu.be/kWX_64wNxbg
Video2 (for Rus­sia): https://vk.com/video-149273431_456239122
Blog­post: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/

Positive Technologies ищут тренера по продукту MaxPatrol VM

Добавить комментарий

Pos­i­tive Tech­nolo­gies ищут тренера по продукту Max­Pa­trol VM. Вакансия прям 🔥

"• Разрабатывать обучающие программы по продукту в сфере ИБ для клиентов и партнеров (на рус и англ яз).
• Проводить тренинги для партнеров и заказчиков.
• Разрабатывать курсы по продуктам (написание контента).
• Разрабатывать образовательные программы для learn­ing part­ners (и готовить тренеров).
• Курировать создание лабораторных работ, демонстрационных стендов.
• Проводить сертификацию по итогам тренингов и принимать экзамены."

Кажется на такой позиции может вырасти крутой VM-евангелист. Особенно если он будет в лекциях и лабораторках делать упор не на описании вебинтерфейсов (как это обычно бывает), а на решении практических кейсов: тонких моментов связанных с детектами и на том зачем это всё вообще нужно (демонстрация реальных кейсов эксплуатации). Хорошего VM-обучения очень мало. А чего-то более-менее публичного и того меньше.

Кстати, это вакансия из чата @CyberSecJobsRussia — вакансии по ИБ без указания вилки. Я его запустил в 2020 году, а сейчас он в основном поддерживается коллегами из PT Career Hub. Добавляйтесь туда пожалуйста, а то нам народу до 200 не хватает, чтобы Aggres­sive Anti-Spam включить. А без него спамеры одолевают. 😅 Во Вконтакте тоже есть группа sec_vacancies, тоже можете туда добавиться. Если мне в ленте вакансии по ИБ попадаются, я туда шарю.

Добавил учёт EPSS в Vulristics

2 комментария

Добавил учёт EPSS в VulristicsДобавил учёт EPSS в Vulristics

Добавил учёт EPSS в Vul­ris­tics. EPSS стал ещё одним источником данных, т.е. команда для анализа набора CVE будет выглядеть так: 

$ python3 vulristics.py --report-type "cve_list" --cve-project-name "New Project" --cve-list-path "analyze_cve_list.txt" --cve-comments-path "analyze_cve_comments.txt" --cve-data-sources "ms,nvd,epss,vulners,attackerkb" --rewrite-flag "True"

Добавление нового источника задача несложная. Сделал по аналогии с NVD. Однако возник вопрос: какое именно значение EPSS использовать. Было 2 варианта:

1. Prob­a­bil­i­ty — вероятность наблюдения эксплуатации уязвимости в течение следующих 30 дней ("prob­a­bil­i­ty of observ­ing exploita­tion activ­i­ty in the next 30 days").

2. Per­centile — значение показывающее насколько вероятность наблюдения эксплуатации данной CVE уязвимости больше чем для всех других CVE уязвимостей. Например, вероятность EPSS, равная всего 0,10 (10%), находится примерно на уровне 88-го процентиля, что означает, что 88% всех CVE имеют более низкую оценку ("For exam­ple, an EPSS prob­a­bil­i­ty of just 0.10 (10%) rests at about the 88th per­centile — mean­ing that 88% of all CVEs are scored low­er").

В итоге опытным путем пришел к тому, что Prob­a­bil­i­ty слишком малы, а также мало различаются, поэтому лучше использовать Per­centile.

Я перегенерил отчет для апрельского MS Patch Tues­day.

1. Старый отчет без EPSS
2. Новый отчет с EPSS

Выглядит довольно неплохо, но со странностями. Так наиболее критичная Ele­va­tion of Priv­i­lege — Win­dows Com­mon Log File Sys­tem Dri­ver (CVE-2023–28252), которая присутствует в CISA KEV почему-то имеет очень низкий EPSS. 🤷‍♂️ Поэтому результат нейронки это, конечно, хорошо, но здравый смысл терять не нужно. 😉

Дочитал "Catch Me If You Can" (1980)

Добавить комментарий

Дочитал Catch Me If You Can (1980)

Дочитал "Catch Me If You Can" (1980). Делюсь впечатлениями.

1. Это не достоверная биография Фрэнка Абигнейла, а приключенческий авантюрный роман, написанный Стэном Реддингом по мотивам четырех интервью с Абигнейлом. В этом качестве книга вполне неплоха. Написана приятным не супер-сложным английским языком, читается легко. Но это явный fic­tion. Причем видимо фантазировали там оба. Эти нестыковки в статье на wiki подробно разбираются. Особенно сложно мне было поверить в описание содержания в Perpignan’s House of Arrest во Франции. Нет, ну понятно, что там вряд ли был курорт, но что-то слишком жёстко.

2. Главная мошенническая схема в книге — обналичка поддельного банковского чека. Мошенник подходит на кассу некоторого учреждения, даёт бумажный чек, практически не защищенный от подделки. На усмотрение операциониста чек обналичивается. Возможности на месте проверить достоверность чека нет. Процесс проверки занимает дни и недели. Когда подделка выявляется, мошенник с кэшем уже далеко. Форма и удостоверение пилота, человека уважаемой профессии, вызывают доверие у операциониста и увеличивают конверсию. Особенно когда рядом красивая подельница в форме стюардессы.

3. Основная мысль, которая проскальзывала при прочтении — какое же наивное было время в конце 60х, всё на доверии. В наше время, когда всё в миг пробивается и валидируется, такие фокусы потребуют компрометации информационным систем. А значит мошеннику придется быть в первую очередь хакером. 🙂 С другой стороны, до конца такие схемы на доверии себя не изжили. Как минимум схемы с телефонным разводом вполне себе работают. 😉

Про "Битву роботов"

Добавить комментарий

Про "Битву роботов". Не знаю, кому в Минцифре пришла в голову идея основательно взяться за организацию российского аналога Robot Wars и Bat­tle­Bots, с сайтом на госуслугах и прочим, но идея прямо огненная. 🔥👍 Очень одобряю.

Единственное, у американцев и британцев это прежде всего ТВ-шоу. Поэтому уровень видео-продакшена у них изумительный. У российских же соревнований пока всё было скромненько в этом отношении. Но смотрибельно. 🙂 Хочется надеяться, что будет лучше. Подписался на официальный канал, буду следить за обновлениями.

PS: Я фанат drum spin­ner-ов, особенно нравится бразильский Mino­taur. 😍