Архив за месяц: Май 2023

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (3/3)

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (3/3). 😉

Часть 3. ПРОГНОЗЫ РАЗВИТИЯ СИСТЕМ УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ

1. Как будут развиваться системы управления уязвимостями в ближайшее время?

Здесь хотелось бы разделить на 2 части:

- Как хотелось бы, чтобы развивались?

Про это писал в "Трендах/драйверах Vulnerability Management рынка". Всё повторять здесь не буду. Ключевым направлением мне кажется анализируемость баз детектов уязвимостей. Чтобы можно было делать сравнения (хотя бы по CVE) и делать выводы по возможностям детектирования у тех или иных решений. Если в этом отношении ситуация улучшится, можно будет даже со стороны клиента пропушивать улучшение качества детекта.

- Как скорее всего будут развиваться?

Кажется, что основное, куда кидаются ресурсы это не улучшение качества детектирования, а дальнейшие интеграции со сторонними системами и высокоуровневая аналитика для ТОПов. Желательно, чтобы ещё и работало автоматически.

Алексей Лукацкий в своём канале это так недавно описал:

"Мечта ИБшника - средство защиты с одной кнопкой «защити меня», а не вот это вот все с тысячами настроек… Само смотрит телеметрию, само коррелирует и выстраивает цепочки атак, само оценивает опасность, само реагирует, само генерит и отправляет отчет об успехе с привязкой к бизнес-целям предприятия (недопустимым событиям). Сказка, а не ИБ. […] Так что думаю не за горами тот момент, когда в одном решении будет и SIEM, и SOAR, и сканер уязвимостей, и встроенная CMDB, и ASM, и много чего еще"

И я в общем-то не против всего этого, но очень хотелось бы, чтобы этот космолет развивался не в ущерб базовой функциональности детектов. Потому что детекты это база, а всё что выше это надстройка.

2. Можно ли будет полностью автоматизировать процесс управления уязвимостями в организации?

Можно. Когда будут полностью автоматизированы (и формализованы) процессы IT. 😏

3. Как можно будет использовать в этом процессе искусственный интеллект?

Уже сейчас используются для анализа уязвимостей, например в EPSS. Вполне вероятно, что AI будет активно использоваться при анализе состояния защищенности активов и построение цепочек атак.

Часть 2

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (2/3)

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (2/3). 😉

Часть 2. ПРАКТИКА УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ

1. С чего начать построение процесса управления уязвимостями?

Имхо, самое важное сразу решить: вы будете использовать полноценное коробочное решение или попробуете обойтись без него, комбинируя разные средства детектирования уязвимостей и разрабатывая что-то самостоятельно. Первый путь - дорого и много боданий с вендором, чтобы пропушивать нужные фичи и багфиксы. Второй путь - дольше стартовать, гораздо более трудоемко, но гибче и, как правило, дешевле.

2. Какие регламенты нужно разработать в компании?

Политика управления уязвимостями должна какая-то быть. Но не важно какая именно бумажка мотивирует исправлять уязвимости, главное чтобы уязвимости по факту исправлялись.

4. Как правильно составить SLA для такого процесса?

Единого правильного пути нет. Прогрессивным считается согласовать требования по регулярным безусловным обновлениям в заданные сроки и согласовать процесс "пожарного" патчинга супер-критичных уязвимостей.

5. Как правильно определить границы процесса управления уязвимостями?

Фиг знает что понимается под границами. Имхо, всё что является технической уязвимостью можно подгрести под Управление Уязвимостями, т.е. аппсечные темы тоже (см. карту). Но VM-вендоры под VM-ом понимают, как правило, только управление уязвимостями инфраструктуры.

6. На какие параметры обращать внимание при выборе системы управление уязвимостями?

В первую очередь оценить качество детектирования уязвимостей, всё остальное сильно вторично.

7. С какими типами ресурсов могут работать системы управления уязвимостями?

Правильнее задать вопрос: то VM-решение, которое вы покупаете, покрывает ли все типы активов, которые есть у вас в организации. И если нет, то что делать с непокрываемыми. Выяснить это ваша задача.

8. Обязательно ли идентифицировать все активы в инфраструктуре? И как проще это сделать?

Безусловно. Имхо, это задача IT и логично это делать в рамках CMDB системы. Но если есть уговор делать это в рамках VM-а, почему бы нет.

9. Кто и как правильно оценивает приоритет уязвимостей?

Выделенный аналитик этим должен заниматься. Но вообще правильная приоритизация уязвимостей это жутко мутная тема, этим можно всерьез заниматься только от безысходности. Конструктивнее договариваться о регулярном безусловном патчинге.

10. Откуда сейчас можно получать данные о трендовых уязвимостях и оперативно их учитывать?

"Нигде кроме как в Моссельпроме!" © Видимо правильный ответ подразумевается "в платном фиде VM-вендора". 😏 На самом деле CISA KEV и бюллетени регуляторов вполне адекватно подсвечивают критичное.

11. Можно ли в рамках процесса определять ошибки конфигурации и проводить контроль целостности?

Можно рассматривать мисконфигурации как уязвимости, но вообще правильный Hardening это отдельная непростая тема. А контроль целостности это скорее SOC-овская тема.

12. В каких случаях возможен автопатчинг или переконфигурирование?

В тех случаях, когда VM-вендор может его безопасно делать. 😏 В первую очередь это должно касаться third-party софта на десктопах: браузеры, pdf-читалки, архиваторы, офисные продукты, java и т.п.

13. Какие метрики эффективности на практике лучше применять для управления уязвимостями?

Вкусовщина. Имхо, важно смотреть в разрезе подразделений, насколько они выполняют требования по регулярному патчингу и по "пожарному" патчингу. Также важно понимать какие активы у нас не охвачены VM-ом и почему.

Часть 1

Выкладываю видео своего выступления на CISO Forum про карту отечественных около-VMных вендоров

Выкладываю видео своего выступления на CISO Forum про карту отечественных около-VMных вендоров. Как я уже раньше писал, мероприятие мне в этом году очень понравилось. Но команда, которая занималась видео, что-то подкачала. 🤷‍♂️ Особенно по сравнению с прошлым годом, когда продакшен был просто восхитительный. В этом году в зале, где я выступал, снимали на одну камеру и экран, и докладчика. Без какой-либо обработки. В итоге экран со слайдами на видео практически не видно. Пришлось самому садиться и совмещать видео со слайдами. К тому же начали снимать не сразу, поэтому первые несколько минут выступления потеряли. Не попал слайд обо мне и история с чего всё началось: как я написал в телеграмм-канале про карту TAdviser, расписал вендоров, которые там были представлены, а некоторые представители VM вендоров начали мне в личку писать, что я про них забыл. И все заверте…

В целом, это всё, конечно, совсем не фатально. Главное, что заключительная часть с вопросами уцелела - они были очень крутые в этот раз. 🔥

В канале ISCRA Talks дали ссылку на мой канал

В канале ISCRA Talks дали ссылку на мой канал. Приятненько. 😊 Спасибо! Правда описание доклада несколько творчески переработали. В оригинале там было так:

"Доклад будет посвящен Vulnerability Management-у. Для начала немного поговорим о том что это такое, зачем нужно, какие типы решений существуют и как они работают. Я поделюсь взглядом на Vulnerability Management со стороны вендора и со стороны клиента. Затем обсудим как изменилась ситуация после ухода западных вендоров с российского рынка в феврале 2022 и что нас может ждать в будущем."

До встречи в понедельник! С самого выпуска в Бауманке не был, 14 лет уже получается. Очень интересно как там теперь. 🙂

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (1/3)

Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management-у, поотвечаю на вопросы из программы здесь (1/3). 😉

Часть 1. РЫНОК СИСТЕМ УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ В РОССИИ

1. Что входит в современное понимание процесса управления уязвимостями (Vulnerability Management)?

Управление уязвимостями это их детектирование и исправление. Остальное всё опционально. Вон Holm Security считают, что в современном Vulnerability Management решении обязательно должен быть Антифишинг встроенный. И чего теперь, не будем VM-решения без встроенного Aнтифишинга за современный VM считать? 🙂 Не ведитесь на маркетинг, обращайте внимание на главное - качество детектирование. А на исправление влияет в первую очередь то, как вы договоритесь со своими админами/девопсами. Коробочное решение за вас это не сделает.

2. Каковы основные драйверы рынка управления уязвимостями?

a. Западные VM-решения отвалились, все кинулись активно импортозамещаться.
b. IT-инфраструктура также импортозамещается. VM-вендоры должны за этим поспевать, поддерживать все эти континенты, 1С-ы, отечественные Linux-ы и прочее. База знаний отечественного VM решения станет сильно отличаться от западного.
c. Регуляторы стали уделять процессу управления уязвимостями гораздо больше внимания.

3. Усложнился ли процесс управления уязвимостями с уходом из России зарубежных вендоров?

Безусловно. Уход VM-вендоров = отвалившиеся VM-процессы. Уход IT-вендоров = поиски решений, которые могут детектировать уязвимости в импортозамещенных продуктах.

4. Обнаруживать уязвимости можно обычным сканером. Что понимается под непосредственно “управлением”?

См. вопрос 1. Управление активами, оценка и приоритизация уязвимостей это всё доп. функциональность. "Если вы надетектили уязвимости как-то и приняли решение, что с ними дальше делать (устранять, смягчать, оставить как есть) и сделали отчет для начальства, то поздравляю, это уже Vulnerability Management."

5. Vulnerability Management — это непрерывный процесс или набор разовых лимитированных активностей?

Это набор нескольких непрерывных процессов. "Все, что в "лепестках" должно идти одновременно, параллельно, автоматически. Нет "сканов-ресканов", есть процесс поддержания инвентори/детектов и его улучшения. Разбор и переоценка уязвимостей отдельный процесс. Пушинг их исправления тоже."

6. Как Vulnerability Management связан с Continuous Penetration Testing?

Continuous Penetration Testing это считай сервис сканирования периметра + обработка результатов аналитиками вендора. VM-решение это продукт, а CPT это, по сути, услуга. Также можно спросить: как связан Vulnerability Management и Bug Bounty. Как-то связан: и там уязвимости, и там. Нужно сливать воедино? Если VM-решение позволяет заносить уязвимости из сторонних источников - почему бы и нет.

7. Какими функциями обладают системы (платформы) управления уязвимостями?

Основная - детектирование уязвимостей. И любыми дополнительными на усмотрение маркетологов. Из дополнительных самая полезная это автоматический патчинг, кто это делает - респект.

8. Можно ли управлять уязвимостями без специальных систем?

Без качественных средств детектирования уязвимостей очень тяжко. Если есть продетектированные уязвимости, остальное можно накодить самим или взять open source решение.

9. Какие сотрудники компании должны быть вовлечены в процесс управления уязвимостями?

ТОП-ы, ИБ-подразделение, ИТ-подразделение. У PT про это хорошо расписано.

10. Как выглядит процесс управления уязвимостями в специализированной системе?

Вжух-вжух и сидишь, кайфуешь. 😆 По-всякому оно выглядит. Особенно если не веришь на слово вендору, сравниваешь результаты нескольких детектирующих решений, а потом упорно доказываешь через тикеты, что в детекте проблемы.

11. Как обосновать покупку системы управления уязвимостями?

Совсем без средств детектирования уязвимостей не узнаешь состояние инфраструктуры и она будет деградировать в полнейшее решето. Другое дело какое именно решение брать - тут могут быть варианты. Сочетание "грамм-градус-копейка" для всех будет разным.

Про SberLinux

Про SberLinux. С одной стороны круто, что появился "дистриб от крупной российской окологосударственной IT компании", как раз о чем я писал в прошлом году. 🙂 С другой стороны, это, конечно, совсем не "бесплатный базовый Linux дистрибутив", который бы хотелось видеть. Видимо такое выпускать мало кому интересно. 🙂 Platform V SberLinux OS Server это прежде всего операционная система для облачной платформы "ГосТех". И декларируемое описание этого дистрибутива заставляет задуматься о том, что же такое "отечественная ОС":

"Дистрибутив ОС GNU/Linux. На 100% бинарно и bug-for-bug совместимый с дистрибутивом ОС RedHat Enterprise Linux версии 8.6 и выше".

Т.е. этот дистрибутив полностью, даже в части нежелательных функций, это такой же RHEL 8. Фактически это аналог AlmaLinux, Rocky Linux, Oracle Linux. Хорошие проекты, но являются ли они российскими ОС? Ну, очевидно нет. Если в американской компании Red Hat вдруг решат добавить бэкдор для систем с российским IP, то bug-for-bug этот бэкдор придет и в SberLinux, и в Гостех.

В описании вакансии QA Engineer (SberLinux) можем прочитать:

"Команда SberLinux OS DevTeam формирует команду создания дистрибутива ОС Linux 100% бинарно-совместимого с Red Hat Enterprise Linux для реализации инициативы технологической независимости от поставок лицензий и предоставления поддержки вендора.

Цель: Обеспечение технологической независимости в части ОС Linux для Группы Сбера."

Но достаточно ли независимости от поставок лицензии и независимой поддержки, для того, чтобы считать ОС российской? Сейчас видимо да.

Можем довести до абсурда. Допустим, в России есть некая ООО "Гигасофт". Эта компания заключает OEM договор с Microsoft на выпуск ОС Gigasoft Doors, которая на 100% бинарно и bug-for-bug совместима с Microsoft Windows. Потому что это Microsoft Windows и будет, только "Windows" везде на "Doors" заменено и логотип изменен. Лицензии можно приобретать у ООО "Гигасофт", за поддержкой тоже к ним. Это что же получается, Gigasoft Doors будет отечественной ОС, обеспечивающей "технологическую независимость"? Ну, странно ведь получается, как думаете?

Опубликована программа ISCRA Talks 2023

Опубликована программа ISCRA Talks 2023. Получилось представительно. 👍 4 выступления от Positive Technologies (учитывая, что я тоже про опыт работы в PT и MaxPatrol 8 буду рассказывать - почти 5 😄), два от Лаборатории Касперского. Также Эшелон, Доктор Веб, Джеты, Сбер, Евраз и другие. Все темы сугубо практические и технические. 🔥

У меня план пока следующий. Приехать к началу в 10:30. В 11:00 моё часовое выступление. После него до 14:45 буду слушать доклады в первой секции. Потом перерыв на пообедать/пообщаться/пошататься по ГЗ. 😇 И наконец переместиться в третью секцию где-то до 17:00. Остальное посмотреть уже в записи.