Архив за месяц: Апрель 2023

Читая проект руководства по Vulnerability Management от ФСТЭК

Читая проект руководства по Vulnerability Management от ФСТЭК

Читая проект руководства по Vulnerability Management от ФСТЭК. Процесс не для человеков. Если брать совсем упрощенно, то в руководстве описан процесс, где на входе мы имеем общий поток уязвимостей (не только от сканеров, а вообще всех известных BDU/CVE уязвимостей!), который мы пропускаем по хитрому многоступенчатому процессу, несколько напоминающему Gartner Vulnerability Management Сycle. В рамках этого процесса мы делаем вывод о релевантности уязвимости и если уязвимость релевантна, устраняем её срочно, устраняем планово или применяем компенсирующие меры.

Главное, что вызывает озабоченность это кажущаяся окончательность принятия решения по уязвимости. Приняли решение, что уязвимость нерелевантная и забыли о ней. Приняли решение, что она не особо критичная и может быть устранена планово, закинули в неприоритетную задачку на IT и забыли об этой уязвимости (как минимум на время фикса).

Проблема в том, что входные данные об уязвимостях и об инфраструктуре будут постоянно меняться. Поэтому нерелевантная уязвимость может внезапно стать релевантной (и наоборот), а несрочная срочной (и наоборот).

Рассмотрим примеры:

1. Мы на этапе мониторинга уязвимостей и оценки их применимости пришли к выводу, что уязвимость нерелевантная. На следующей день изменились входные данные по уязвимости (уточнили тип, был EoP, стал RCE) или составу инфраструктуры (думали нет таких софтов у нас, а они появились) и она уже становится релевантной. А мы её уже убрали из рассмотрения и пропустили поэтому супер-критичную уязвимость.

2. Возьмем "этап оценки уязвимостей". Там есть "Определение уровня опасности уязвимости" - Расчет базовой, контекстной и временной метрик CVSS. Как минимум временная метрика требует постоянной актуализации. Там есть Exploit Code Maturity (E). Сегодня эксплоита для уязвимости нет, а завтра он появится.

Иными словами, не получится один раз прогнать уязвимость по процессу, принять какое-то окончательное решение по ней и больше к рассмотрению этой уязвимости не возвращаться. Требуется постоянно обновлять информацию о состоянии инфраструктуры и уязвимостей (в т.ч. улучшать качество детекта - если что-то не детектируется из того, что должно - нужно настучать VM-вендору). А затем необходимо корректировать статусы уязвимостей:

- ранее нерелевантные уязвимости пускать в исправление (и наоборот)
- плановое исправление заменять на срочное (и наоборот)
- планировали патчить, а теперь решили компенсировать (и наоборот).

Естественно для десятков тысяч уязвимостей и достаточно большой инфраструктуры это не получится сделать силами героев-аналитиков с эксельками. Здесь требуется серьезная автоматизация. Аналитик в такой автоматизированной системе не должен принимать решение по конкретной уязвимости, его задача корректировать общий управляющий алгоритм.

В рамках руководства весь этот момент можно снять одним уточнением в разделе "2. ПРОЦЕСС УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ", что все уязвимости должны постоянно и непрерывно пропускаться по всему процессу и при изменении их статуса (релевантность, тип исправления) должны корректироваться фактические способы устранения уязвимостей. Причем не только уязвимости, которые детектируются в инфраструктуре сканерами, но и вообще все. Даже если уязвимости уже ранее устранялись. Безусловно, это сразу поменяет характер документа, по сути он превратится в ТЗ для разработки автоматизированной системы, но по-другому здесь вряд ли получится.

Плавно свожу OpenVAS.ru с орбиты

Плавно свожу OpenVAS.ru с орбиты

Плавно свожу OpenVAS.ru с орбиты. Пришло время очередного продления домена и в этот раз я решил его не продлевать. В прошлом году я выкладывал пост "Возрождаем OpenVAS Russia?". Это было ещё до старта канала, поэтому продублирую частично:

"В 2015 году я крепко увлекся OpenVAS-ом. Создал официальную русскоязычную User Group, зарегистрировал сайт openvas.ru, поддерживал скрипт для автоматизации сборки из исходников и управлению сканером и неофициальный виртуальный апплаенс, писал обучающие посты.

Запала у меня хватило где-то до 2017-2018. После этого немцы из Greenbone сильно переделали архитектуру, у меня разъехалась билдилка. Ну и вообще стало как-то непонятно зачем мучаться с опенсурсом, если можно сконцентрироваться на работе с западными коммерческими решениями, которые и детектирует лучше, и работать с ними приятнее.

Не добавляло энтузиазма и активность Greenbone по ребрендингу OpenVAS, чтобы он больше способствовал их бизнесу. Теперь собственно OpenVAS это один маленький проектик непосредственно относящийся к старому Nessus-у. Все остальное это сплошной ехал Greenbone через Greenbone."

Основной GVM/OpenVAS вроде и живой, и открытый, последняя стабильная версия вышла в прошлом году и скоро должна выйти очередная. Есть даже официальная документация как ставить из исходников в Debian/Ubuntu, Fedora, CentOS. С другой стороны, практическая полезность продукта стремительно снижается.

1. Сканер уязвимостей это прежде всего база детектов, в данном случае Greenbone Community Feed. И изначально этот фид был неплох. НО Greenbone сознательно вырезали из него всё, что касается корпоративного софта, например MS Exchange. "This distinction is regarded an adequate balance between community needs and commercial needs". Я время от времени делаю сравнение с Tenable Nessus, последний раз год назад, разница ощутимая, хотя и не в одни ворота. Иногда встречаю тезис "куцая у него база, но это все равно лучше, чем ничего". Возможно, но все равно перед тем как использовать инструмент нужно оценить его ограничения и понимать что ты с помощью него хочешь продетектировать.

2. Сам движок для запуска NASL скриптов. Да, NASL это история. Да, на нем было написано множество проверок. Но насколько эти проверки актуальны сейчас? Кто-нибудь это исследовал? 🙂 Кажется для Local Security Checks это далеко не оптимальное решение, когда на каждую уязвимость генерится отдельный скрипт. Кажется даже OVAL выглядит логичнее и предпочтительнее для этого, не говоря уже об API-шках для детекта и обвязках вокруг них, типа моего Scanvus. Remote Checks сейчас успешно реализуются на скриптах для Nuclei или Nmap, а ещё проще написать проверку просто на python и не сковывать себя какими-то ограничениями специализированного языка. Причем сами вендоры, которые сидят на NASL, от него потихоньку отказываются. Tenable засовывают всё значимое в .nbin, а Greenbone делают свой Notus Scanner для проверок по версиям.

В общем, OpenVAS получается чемоданом без ручки. И бросить жалко, и польза от него стремительно перестает быть очевидной. Поэтому сайт openvas.ru, для которого не было обновлений с 2017 года, я прикрываю. Выкаченную копию его прикладываю (использовал httrack). OpenVAS Russia теперь полностью живет на https://vk.com/openvas.russia. Кому хочется поучаствовать или порулить комьюнити - всегда welcome!

Про нейминг конференций

Про нейминг конференций

Про нейминг конференций. ВК внезапно начал усиленно рекламировать мне масштабную конференцию по ресторанному бизнесу в Сочи, которая называется Гастрит (Gastreet). Видимо от gastronomic street. Но как тут можно удержаться от медицинских ассоциаций я не знаю. Звучит абсолютно уморительно."Топовые спикеры и шеф повара, мастер-классы, тренинги, [перечисление опции по питанию], все это твой восьмой Гастрит!". "Гастрит ждет тебя!" 😄

Подумал, что это настолько плохо, что даже уже и хорошо. И наверное так и надо. 😏

Какие аналогичные нелепые и негативные названия для ИБшной конфы можно придумать? Что-нибудь вроде "Взломали", "Пошифровали", "Слили Базу". А для VM-ной конфы, например, "RCE На Периметре". Твоя восьмая "RCE На Периметре"! "RCE На Периметре" ждет тебя! Класс же, не? 🙂 Организаторы конференций, присмотритесь.

Снова начали писать про китайские решения по ИБ

Снова начали писать про китайские решения по ИБ. Видимо последствия визита товарища Си.

"В К2Тех также подчеркнули, что отечественные организации наиболее заинтересованы в китайских межсетевых экранах. Подобные решения в Китае сейчас ищут свыше 70% опрошенных российских компаний. Также популярностью у российских организаций пользуются системы предотвращения вторжений (IPS). В скором времени их планируют приобрести около 47% опрошенных. А на третьем месте по востребованности располагаются новые системы мониторинга и сканеры безопасности — на эти китайские решения планируют перейти 16% российских компаний, принявших участие в опросе."

Мне кажется, что тренд все же на жесткую замену на отечественное. Но что там в Китае и других дружеских странах тоже, безусловно, интересно. Вот, например, по нашей теме китайское VM решение NSFOCUS RSAS. Поглядим как перестроятся интеграторы и какая будет ситуация с получением с сертификатов.

Наверное уже раз 5 видел в ленте шутку про утилизацию в Cisco и "три порции шашлыка выбросила в пропасть"

Наверное уже раз 5 видел в ленте шутку про утилизацию в Cisco и "три порции шашлыка выбросила в пропасть". Дескать распродали, наверное, железяки всерую страждущим. Только даже если так, чего в этом хорошего? То, что кто-то продолжает пользоваться сетевыми устройствами от компании, которая не только поддержку перестала оказывать, но ещё и активно нарушает работоспособность устройств в России, это довольно печально. Шашлык с душком, в пропасти ему самое место.

А вы уже прочитали проект руководства по Управлению Уязвимостями от ФСТЭК? Дали фидбек?

А вы уже прочитали проект руководства по Управлению Уязвимостями от ФСТЭК? Дали фидбек?

А вы уже прочитали проект руководства по Управлению Уязвимостями от ФСТЭК? Дали фидбек? 😏

Поигрался немножко с новой версией @kandinsky21_bot от Сбера. Местами неплохо генерит. 🙂

Неожиданно победил в премии "Киберпросвет"

Неожиданно победил в премии Киберпросвет
Неожиданно победил в премии Киберпросвет

Неожиданно победил в премии "Киберпросвет". В номинации «Все великое начинается с малого» – начинающему ИБ-блогеру. 😅

Довольно иронично, учитывая, что основной англоязычный блог avleonov.com я веду регулярно с января 2016 года. Получается уже 7 лет. Но телеграмм-канал на русском я действительно начал вести менее года назад, так что технически всё правильно, начинающий. 🙂

Спасибо большое, @secmedia! Приятненько! 😊