Архив за месяц: Сентябрь 2023

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE)

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE)

Qualys выпустили свой ТОП-20 наиболее эксплуатируемых уязвимостей (24 CVE). Я их выписал. Стало интересно, а есть ли что-то, что не входит в недавние англосаксонские списки. Оказалось, что не входят 12 CVE, т.е. ровно половина:

CVE-2012-0158
CVE-2012-0507
CVE-2012-1723
CVE-2013-0074
CVE-2014-6271
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-8570
CVE-2018-0802
CVE-2018-8174
CVE-2019-2725

Это #Shellshock, MS17-010, 3 RCE для Office, 2 RCE для VBScript и Silverlight, 3 уязвимости для Oracle Java и WebLogic. Видимо англосаксы намерили, что в 2022 это было уже не актуально. 🤷‍♂️

Выпустил отчёты Vulristics:

🗒 Qualys TOP 20 2023
🗒 Qualys TOP 20 2023 NOT in Joint report

Самая важная часть Vulnerability Management-а не имеет прямого отношения к уязвимостям

Самая важная часть Vulnerability Management-а не имеет прямого отношения к уязвимостям

Самая важная часть Vulnerability Management-а не имеет прямого отношения к уязвимостям. Подумал, что если суммировать весь опыт практического внедрения VM-а и выделить самое важное, то это будет оно.

В первую очередь у безопасника VM-щика должна голова болеть не об автоматически продетектированных на каком-то скоупе уязвимостях, а о том, что где-то есть какие-то IT-активы, о которых он вообще ни сном, ни духом.

По закону подлости именно там будет основное адище и именно там будут резвиться злоумышленники. А когда произойдёт инцидент, VM-щику будет нечего сказать кроме "а я не знал, что у нас такие активы есть" и вид он будет иметь весьма бледный. 😱

К существующей в организации системе инвентаризации должно быть максимальные недоверие. У вас действительно нет неучтённых активов? А если найду? (с)

Вопросы навскидку к системе инвентаризации:

🔹 А филиалы все? А дочерние/купленные компании все?
🔹 А десктопы все? И ноутбуки все? И у удалёнщиков, которые по VPN-у не подключаются? И на всех ОС?
🔹 А сервера все? И которые не в домене? И которые в закрытых сетках? И которые в облаке? И которые на других внешних хостингах когда-то подрядчиками развенуты? А ERP-система? А Kubernetes?
🔹 А сетевые устройства все?
А вот телефония? А вот камеры? А вот СКУДы? А вот экраны в переговорках? А вот система бронирования переговорок?

Можно до бесконечности продолжать.

Поддерживать такую систему инвентаризации в актуальном состоянии это прям работа-работа. И это имеет мало общего с тем, что обычно VM-вендоры говорят: ну вот вы сеточки просканите, получите активы и запустите VM-сканы с аутентификацией. Нет, ребята. Может посканить сеточку (ещё нужно понимать какую и получить права), поснифать трафик (опять же где именно), сделать выгрузку из AD (опять же из какого именно) и т.д. это и неплохо, но это скорее нужно для того, чтобы найти ошибки в основной системе инвентаризации активов, а не её замена.

Когда есть информация, что активы в принципе есть, можно копать вглубь:

🔸 А кто ответственный за актив? Кто должен обновлять этот актив? С какой периодичностью это делается? Что будет, если обновление по факту не производится?
🔸 А что это за актив? Какая у него критичность?
🔸 А можем ли мы сканировать этот актив на уязвимости? А если не можем, то как мы будем с этим активом дальше жить? Откажемся от использования актива, купим сканер, напишем свой сканер, будем руками проверять?
🔸 Если это сервер/десктоп можно уже инвентаризацией софтов заниматься и тоже прикидывать есть ли у нас средства для детектирования уязвимостей для этих софтов и как жить, если нет. Откажемся от использования софта, купим сканер, напишем свой сканер, будем руками проверять?

Посыл такой:

➕ С более-менее адекватной инвентаризацией активов и возможностью транслировать политики в сторону IT нам (крамола!) возможно и детектировать уязвимости не так и важно. 🙄 Видим хосты и то, что они полностью обновляются раз в месяц - отлично. Скорее всего там всё +- нормально. Если видим хост с EOL операционкой, то тоже сканировать на уязвимости излишне - нужно мигрировать. Если видим хост, который не обновлялся год, то тоже сканировать смысла нет - критичных уязвимостей за год гарантированно набежит, нужно разбираться почему процесс регулярного обновления не сработал.

➖ А вот когда у нас нормальной инвентаризации активов нет, то VM-процесс будет напоминать мальчика, который увлеченно ковыряет в грязной луже палочкой. Ну, чего-то там сканим, как-то эти сканы разбираем, какие-то таски на обновление заводим, как-то эти таски закрывают. Можно график нарисовать. Насколько этой активности достаточно и насколько она вообще реальный уровень защищенности повышает - да пёс его знает. Соблазнительно сказать: а вот мы пока на ограниченном скоупе запустимся, а потом - ух! Как расширимся на всё! Очень маловероятно, что это расширение действительно произойдет, т.к. в итоге мало кто в этом расширении скоупа оказывается заинтересован. Так что гораздо лучше изначально правильно акценты расставлять.

Посмотрел подкаст двух Александров Герасимовых про Vulnerability Management

Посмотрел подкаст двух Александров Герасимовых про Vulnerability Management. Больше контента по VM-у хорошего и разного! 👍 Сгруппировал для себя некоторые тезисы в части VM-а для инфраструктуры. По VM для приложений там тоже было, но мне это не так близко и я отметил, только то, что необходимо интегрировать SAST/DAST/SCA в процессы разработки и деплоя. И чтобы были security approver-ы. Не поспоришь.

По инфраструктуре:

1. Пока не выстроены базовые процессы, такие как инвентаризация активов, сегментация сети, patch management (регулярные обновления), заниматься Vulnerability Management-ом рановато. Нужно понимать какие есть активы, кто эти активы сопровождает, что эти активы из себя представляют (на уровне операционной системы и на уровне ПО), какие активы являются для организации критичными (Mission Critical, Business Critical, Office Productivity). В зависимости от этого настроить риски, недопустимые события, SLA по исправлению для типов активов и критичности уязвимостей, модель угроз ИБ.

2. Сканирования инфраструктуры недостаточно для VM-процесса. Безопасники должны выступать контролерами над уязвимостями: реагировать на критичные 0day уязвимости, отслеживать выполнение циклов регулярно патчинга со стороны IT. У актива должен быть функциональный администратор, бизнес-владелец и технический администратор. Накатывает патч технический администратор, через него идёт взаимодействие и он ответственен за патчинг. ИБ выступает как контроль и руками ничего не делает. Перед установкой патчи должны тестироваться, чтобы работа не нарушалась. При невозможности обновления используем компенсирующие меры (в т.ч. виртуальный патчинг).

3. VM на основе open source, какие могут быть проблемы? Сканеры имеют ограниченную пропускную способность, необходимо масштабировать сканеры и опредялять скоуп серверов, которые можно покрыть одним решением. Должен быть единый центр управления для разбора отчётов. Нужно понимать какие активы есть в организации и есть ли у нас средства детектирования под все типы активов (например, Oracle, российские ОС или сетевые устройства). От меня: основная часть VM-а это средства детектирования уязвимостей. Если вы уверены, что можете покрыть всю инфраструктуру адекватными детектами уязвимостей с помощью бесплатного средства - замечательно. Но постарайтесь это проверить, скорее всего обнаружите активы для анализа которых вам понадобится коммерческое решение.

4. Важно, чтобы VM-продукты имели возможности по интеграции. Для снижения риска утечек паролей из VM-решения, лучше организовывать доступ к кредам для безагентного сканирования через системы а-ля CyberArk. Для отслеживания выполнения заявок на исправление уязвимостей можно использовать интеграцию с SOAR и IRP системами.

Awillix делают периметровый сервис Continuous vulnerability monitoring (CVM), считают это очень востребованной темой. От меня: периметровые сервисы это очень конкурентная область. Со стороны клиента важно оценивать качество детектирования, хоть делать это, как правило, непросто.

Прожектор по ИБ, выпуск №1 (01.09.2023)

Прожектор по ИБ, выпуск №1 (01.09.2023). Вроде в прошлый раз неплохо получилось, записали ещё один эпизод тем же составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

01:13 Публичные эксплоиты для уязвимостей Juniper и WinRAR
08:34 Брешь протокола BGP может привести к длительным сбоям в работе интернета
12:45 Подозрительные изменения в британском Investigatory Powers Act 2016 (IPA)
21:13 НеУязвимость curl
27:18 Google удалила пиратские URL из личных сохранённых ссылок пользователей
34:17 Взлом национального центра готовности к инцидентам и стратегии кибербезопасности Японии
36:59 Блокировка ПО со стороны Microsoft стала бы благом?

Алексей Лукацкий накидывает про Microsoft

Алексей Лукацкий накидывает про Microsoft.

"Мы все помним, что Microsoft пообещал не продавать лицензии на свое ПО в России после 30-го сентября. Тут, конечно, вопрос формулировок. Не будет продавать лицензии, не будет обновлять уже проданное ПО или вовсе заблокирует работу ПО на территории России? Последний сценарий самый худший, но он и самый маловероятный…"

Маловероятный в силу того, что в России остались легитимные пользователи-иностранцы и это ударит по ним. А сам пост про то, что есть софт Microsoft, который нужно обязательно с сайта MS качать, а то есть риск получить зловреда. Это всё понятно. Но меня заинтересовала именно первая часть.

Имхо, блокировка работы уже проданного ПО со стороны Microsoft после 30 сентября это самый лучший вариант, т.к.

1. Максимально ускорит замещение оставшейся Windows-инфраструктры. Да, в шоковом режиме. Да, что-то отвалится (в зависимости от того как именно будут блокировать). Но в любом случае восстановят-поднимут и получат живительной стимуляции от руководства для того, чтобы такая ерунда больше никогда не повторилась.

2. Это будет отличной общемировой демонстрацией, что продукты американского бигтеха это ненадежно, они выключаются одним тумблером и от них нужно оперативно избавляться. Как вариант, переходить на российские импортозомещающие продукты.

Запрет на скачивание обновлений это примерно то же самое, но это не такая шоковая тема. До первых инцидентов это заметят только безопасники. Ну да, будет ещё один аргумент для отказа от MS, но и только. Так что вариант значительно хуже.

Запрет продажи лицензий это вообще ни о чем. Думаю, что, к сожалению, Microsoft сами ускорять нам импортозамещение не захотят, а поэтому выберут именно такой вариант. Много где за MSную инфраструктуру продолжат всеми правдами и неправдами держаться. Полное выпиливание MS займёт больше времени, чем могло бы. И это, как мне кажется, худший вариант из возможных. Но, видимо, наиболее вероятный.

Аккурат в день знаний получил сертификат от #PermiraMengajar

Аккурат в день знаний получил сертификат от #PermiraMengajar

Аккурат в день знаний получил сертификат от #PermiraMengajar. Это бесплатные трёхмесячные курсы индонезийского языка. 🇮🇩 Базовый уровень, BIPA 1. Занятия проходили 2 раза в неделю, онлайн, в группах по 3-4 человека. По итогу экзамен (тест, устный, эссе). Преподавали студенты из Индонезии, которые сейчас учатся в России.

Очень понравилось. 👍 Гораздо эффективнее и веселее, чем учить самому по Duolingo. Terima kasih banyak atas kesempatan besar ini!

Почему индонезийский?

По языку:
🔹 Язык простой. Не как Эсперанто, но один из самых простых естественных. Просто нарабатываем лексику.

По Индонезии:
🔹 Население 270 млн. человек и растёт. За последние 10 лет на 33 млн. выросло! Прогнозируют потолок 295 млн.
🔹 Большая страна (14 место, сильно больше Монголии) с мощной экономикой (7-ая по ВВП, сразу после России).
🔹 Дружественная страна. Санкции не вводили, заявку в БРИКС подали.
🔹 Свои IT/ИБ не особо развиты - возможности для коллабораций и экспорта российского.

VulnsIO добавили гибкую работу с API-токенами в веб-интерфейсе

VulnsIO добавили гибкую работу с API-токенами в веб-интерфейсе

VulnsIO добавили гибкую работу с API-токенами в веб-интерфейсе. 👍 Поправил свой пост про экспорт уязвимостей из VulnsIO и скрипт.