Архив за месяц: Июль 2023

Отчитался на Kaspersky Кибер Кэмп

Отчитался на Kaspersky Кибер КэмпОтчитался на Kaspersky Кибер КэмпОтчитался на Kaspersky Кибер Кэмп

Отчитался на Kaspersky Кибер Кэмп. Вот какой токен дали. В темноте светится. 🙂

Записи от оргов не будет, но т.к. у меня ничего секретного нет, могу записать вам отдельное видео 🎦. Если интересно, поставьте посту реакцию с китом 🐳, за 20+ запишу. 🙂

Ну и если вы тоже тут, на Кибер Кэмпе, то поставьте оценку моему докладу в сами знаете каком боте. Дело пары секунд, а мне приятненько. 😉

Заехал на Kaspersky Кибер Кэмп, зарегался

Заехал на Kaspersky Кибер Кэмп, зарегалсяЗаехал на Kaspersky Кибер Кэмп, зарегалсяЗаехал на Kaspersky Кибер Кэмп, зарегался

Заехал на Kaspersky Кибер Кэмп, зарегался. Сегодня вечер для  нетворкинга и репетиции, само мероприятие завтра. Выступаю в 11:20. Трансляции-записи не будет, всё секретно. 🤫 Но про свой доклад я тут напишу конечно.

Зацените какой аватар мне нейросеточка нагенерила. Похож или не особо? 😅 Подарили толстовку без капюшона. Прикольная такая, тяжеленькая, добротная. Буду носить. Спасибо! 😊

Закончилась пора ЕГЭ

Закончилась пора ЕГЭ. Начали задавать вопросы по поводу учёбы на безопасника в МГТУ им. Баумана (ИУ8). 🙂 Я учился в 2003-2009. Остался доволен. Ну так-то сложно быть недовольным, когда поступил довольно неожиданно и легко (собеседование для медалистов - была такая тема 😉), учился на бюджете, отсрочка от армии, военная кафедра, гос. диплом. Да ещё при этом научили чему-то полезному и дали неплохой начальный нетворкинг! Это ж просто праздник какой-то! 🤩

Нравилась ли мне программа обучения? Местами да, местами не особо. Часто говорят, что много лишних предметов. Как по мне, экология, валеология (!), философия, история это же всё чтобы мозги немного расслабились. Никаких проблем с этими предметами, естественно, не было. Основная жесть это была дискретка под разными соусами в конских количествах практически все 6 лет. Особенно Жуковы на первых курсах. 😱 До сих пор иногда снится, что мне её сдавать. 😅 Нужно ли было так много? Не знаю, возможно криптографам и нужно. Сейчас вроде появилась специализация с меньшими объемами математики и простым смертным стало чуть полегче. От предметов, которые преподавали Эшелоновцы у меня самые приятные воспоминания остались, особенно от курса ТОИБАС Валентина Цирлова и курса по выбору на основе CISSP CBK Алексея Маркова. Вот это действительно было полезно и отражало то, чем обычно безопасники в реальной жизни занимаются. Программирования можно было и побольше, а курсы по ОС и сетям были неплохие.

В целом же, что касается каких-то практических навыков, то тут мне кажется важнее найти развивающую первую работу на старших курсах или участвовать в дополнительных обучающих программах. В случае МГТУ это Образовательный центр VK или ISCRA. Конечно, было бы здорово, если бы основная программа была более полезной практически, чтобы не приходилось добирать на стороне, но тут всё упирается в образовательные стандарты. Поэтому я не сказал бы, что в Бауманке прямо идеальная программа обучения ИБшников, но сильно сомневаюсь, что где-то в России их готовят лучше.

Телеграмм-каналу @avleonovrus сегодня исполнился 1 год

Телеграмм-каналу @avleonovrus сегодня исполнился 1 год
Телеграмм-каналу @avleonovrus сегодня исполнился 1 год

Телеграмм-каналу @avleonovrus сегодня исполнился 1 год. 🥳 И вчера было примечательное событие: этот русскоязычный канал сравнялся по количеству подписчиков с моим англоязычным каналом @avleonovcom. И там, и там был 1741 подписчик. При том, что англоязычный канал существует уже 6 лет, с 2017 года, а русскоязычный был запущен только 1 год назад. Темпы роста вполне радуют. 🤩👍 Ну и знаки внимания от Cyber Media и Positive Technologies в этом году тоже были очень даже приятны. 😊

Хотя, по правде сказать, численность сравнялась ещё и от того, что я свёл к минимуму активность в англоязычном канале - кроме обзоров Microsoft Patch Tuesday, апдейтов по моим опенсурсным проектам и периодических переводов постов отсюда, там ничего и нет. Не только потому, что ленюсь делать контент на английском (хотя безусловно), но и потому что интересных мне около-VMных тем, о которых уместно писать на русском для русскоязычных стало гораздо больше. А интересных тем, о которых уместно писать на английском для англоязычных стало гораздо меньше. Очевидное следствие массового исхода западных IT/ИБ вендоров из России и активного импортозамещения. 🤷‍♂️

Считаю прошлогодний переход к стратегии "в первую очередь я пишу на русском" правильным. Планирую продолжать в том же духе. Всем большое спасибо, что читаете и шарите! 🤝

Первоначальные намётки по открытому фиду с уязвимостями - проект Vulrectory (пока пустой)

Первоначальные намётки по открытому фиду с уязвимостями - проект Vulrectory (пока пустой). По этому проекту хотелось бы в идеале получить обновляемый фид со всеми уязвимостями из NVD и БДУ, содержащий некоторые дополнительные поля, чтобы его можно было использовать как единственный источник данных в Vulristics. Сейчас если с помощью Vulristics приоритизировать, допустим, 100 CVE, то утилита будет делать запросы по каждой из этих CVE к различным источникам (как к бесплатным, так и к платному - Vulners), а затем комбинировать и анализировать данные. Таким образом, будут использоваться наиболее свежие данные, но генерация полного отчета займет довольно много времени. А за большое количество запросов бесплатные источники могут и побанить. Если же будет свой источник с уже подготовленными данными, который можно будет локально выкачать к себе, то можно будет запросто строить отчеты по десяткам тысяч уязвимостей без каких-либо внешних запросов. Сразу появится множество применений:

1. Оценка и приоритизация продетектированных уязвимостей (как для отдельных хостов, так и для инфраструктуры в целом!).
2. Оценка расхождений в результатах детектирования уязвимостей VM-продуктами и слепых пятен в базах знаний (детектов) VM-продуктов.
3. Vulnerability Intelligence - анализ всего входящего потока уязвимостей. Возможно с фокусом только на тех продуктах, которые используются в организации и без привязки к детектам в VM-решении.

В общем, как только можно будет работать с готовыми данными в оффлайне, всё сразу становится гораздо интереснее и удобнее. 😉

Какие дополнительные поля нужны Vulristics:

• Название уязвимого софта. Планирую переиспользовать детект продуктов по ключевым словам на основе описания CVE, который сейчас используется в Vulristics. Но лучше добавить ещё детект на основе CPE и парсинг генеренных описаний уязвимостей "имя софта> тип уязвимости>" (как у Microsoft). Также имя софта можно напрямую забирать из БДУ.
• Тип уязвимости. Планирую переиспользовать детект типа уязвимости по ключевым словам на основе описания CVE, который сейчас используется в Vulristics. Но лучше добавить ещё детектирование на основе CWE. Но это на крайний случай, т.к. к простановке CWE идентификаторов в NVD были вопросы.
• Наличие эксплоита. Если мы хотим, чтобы Vulrectory был бесплатным, то придется видимо ограничиться ссылками на эксплоиты из NVD и флажком "Наличие эксплойта" из БДУ. 🤷‍♂️ В Vulners их будет, конечно, гораздо больше (как вариант делать платную PRO версию?). Возможно есть какие-то открытые базы с признаками наличия эксплоитов на том же GitHub-е - нужно ресерчить.
• Признак эксплуатации вживую. Тут также видимо придется ограничиться бесплатным источником - CISA KEV и ресерчить наличие открытых источников по фактам эксплуатации.

В рамках этого же проекта можно для уязвимостей отображать не только CVSS, но и вектор/скор OSOKA (только Базовые и Эксплуатационные метрики, конечно). 🙂

В общем, пока какие-то такие мысли. Как вам?

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками. Прочитал отчёт "Index Update Q1 2023 RANSOMWARE Through the Lens of Threat and Vulnerability Management" по данным Securin и Ivanti. Товарищи анализируют информацию об уязвимостях, которые используются 356 шифровальщиками.

В отчёте утверждается, что есть 18 уязвимостей, эксплуатируемых шифровальщиками, которые не детектируются сканерами уязвимостей ТОПовых VM-вендоров (Tenable, Rapid7 и Qualys):

CVE-2010-1592
CVE-2012-3347
CVE-2013-0322
CVE-2013-2618
CVE-2013-3993
CVE-2015-2551
CVE-2015-7465
CVE-2017-15302
CVE-2017-18362
CVE-2017-3197
CVE-2017-3198
CVE-2017-6884
CVE-2019-16647
CVE-2019-16920
CVE-2019-5039
CVE-2019-9081
CVE-2020-36195
CVE-2021-33558

Эти уязвимости эксплуатируются 59 группировками шифровальщиков, среди которых Hive, Qlocker, QNAPCrypt и UEFI.

От меня: когда я призываю к открытости баз знаний VM-вендоров, я имею ввиду именно это. Любой VM-вендор умеет детектировать только часть из всех известных уязвимостей. Кто может сказать, что тех уязвимостей, которые он умеет детектировать, достаточно и в его слепой зоне точно нет ничего критичного? Вот имеем пример, когда исследователи, получив доступ к базам знаний (детектов) VM-вендоров, подтвердили проблему с полнотой. И это мы берём самый-самый топ критичных уязвимостей и самых крутых международных VM-вендоров.

Разумеется, сравнение по детектируемым CVE идентификаторам это далеко не идеальный способ обнаружить проблемы с полнотой, но это простой способ и какое-то представление он даёт. Поэтому, призываю всех пушить отечественных VM-вендоров, чтобы информация о детектируемых уязвимостях была публичной и общедоступной для стороннего анализа. Ну или хотя бы доступной регуляторам, чтобы регуляторы сами контролировали адекватность баз знаний (детектов) VM-вендоров.

В отчёте также есть критика CVSS, NVD и CISA KEV из-за некорректного учёта эксплуатируемых шифровальщиками CVE:

• 30% CVE не имеют CVSS v2 или v3 в NVD
• 2 CVE имеют severity Low, 57 Medium в NVD
• 2 CVE находятся в статусе Rejected в NVD (CVE-2015-2551 и CVE-2019-9081)
• только 68% CVE содержатся в CISA KEV, требуется добавить ещё 131