Архив за месяц: Декабрь 2023

Колядка про Vulnerability Management "Пропатчите уязвимость"

Колядка про Vulnerability Management "Пропатчите уязвимость". 🙂 Наигрывал сегодня разные новогодние и рождественские песенки, и мне пришла в голову идея, что "We Wish You a Merry Christmas" с требованием инжирного пудинга отличное описывает процесс пушинга исправления критичных уязвимостей.

Что, в общем, и накидал по-быстрому. Подозреваю, что это первая песня, которая упоминает "НКЦКИ". 😅

Поздравляю всех с наступающим Новым 2024 Годом! Всем здоровья, счастья и интересных задачек! Ура! 🎄🎉

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасностиИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности

ИБшники радостно перекидывают друг другу pdf-ку с новогодним поздравлением якобы от НКЦКИ, оформленным под бюллетень безопасности. Хотя на safe-surf такого бюллетеня с поздравлением нет. 🧐 Не буду утверждать, что конкретно эта pdf-ка зловредная. Но выглядит как идеальная тема для атаки на российских ИБшников, пока они на расслабоне. ИБшник, бди!

Upd. По поводу данного конкретного кейса пишут, что pdf-ка прилетела в почтовой рассылке с правильного адреса, а safe-surf выкладывает всё с задержкой. 😉 Так что панику не разводим, но как возможный сценарий атаки учитываем.

Про итоги 2023 года

Про итоги 2023 года

Про итоги 2023 года. Для меня год был отличный, грех жаловаться. 😇 Жив, чувствую себя неплохо. С близкими тоже хорошо. Хвала Создателю за всё!

Делал довольно много интересных штук. Что-то в итоге получилось, что-то нет. Но это не беда, на следующем подходе получится. А если не получится, то тоже не беда. 🙂

Из того, что можно отметить:

1. Поменял одну основную работу (очень хорошую) на другую (даже ещё лучше). 3 месяца отработал, полёт нормальный.

2. Начал больше музицировать и даже изредка что-то выкладывать. 😊 Сидеть с укулелькой и напевать понравившиеся стихи это, наверное самое приятное занятие для меня сейчас. И результаты записи мне, несмотря на все очевидные огрехи, нравятся.

3. "Прожектор по ИБ" запустили с Львом и Максимом. Вообще не предполагал, что такое в моей жизни будет, однако уже 18 эпизодов (вместе с пилотным) записали. И всё ещё весело этим заниматься. На праздники прервёмся, а дальше, надеюсь, продолжим.

4. Vulristics хорошо продвинулся: нормальный импорт и экспорт данных, кастомный источник данных, улучшенные и быстрые детекты софта. Прям полноценный инструмент стал! Также в части кодяканья доволен Linux Patch Wednesday и экспортером в avleonov.ru. Карта VM-вендоров была не про кодяканье, но тоже здесь отмечу.

5. Telegram-канал @avleonovrus неплохо так подрос! К июлю он догнал и перегнал мой англоязычный (некогда основной, а теперь подзаброшенный) канал @avleonovcom на отметке 1741 подписчик. А к концу года ещё удвоился до 3482. 🤩 Круто! Спасибо, что читаете, лайкаете и шарите!

На следующий год ничего планировать и загадывать не буду. Пусть будет как будет. 🙂

Пришёл новогодний подарок от Эшелона

Пришёл новогодний подарок от Эшелона

Пришёл новогодний подарок от Эшелона. В комплекте крутейшая красная толстовка и, разумеется, легендарный календарь. 🙂

Спасибо большое, коллеги! Очень приятно. 😊
С наступающим! 🎄

Надёжная позиция, которой стоит держаться при общении с IT об установке обновлений безопасности

Надёжная позиция, которой стоит держаться при общении с IT об установке обновлений безопасности

Надёжная позиция, которой стоит держаться при общении с IT об установке обновлений безопасности.

1. То, о чём мы говорим, это сетевой актив (= есть адрес IPv4/IPv6)?

2. У этого сетевого актива есть вендор (вендоры), отслеживающий появление уязвимостей и выпускающий обновления безопасности? Если да, то обновления безопасности должны своевременно тестироваться и устанавливаться. Это требования от вендоров, регуляторов и здравого смысла (cyber hygiene). На всех уровнях: hardware, OS, application. Если такого вендора (вендоров) нет, то актив неподдерживаемый и для него должен быть план вывода из эксплуатации.

3. Процесс Управления Уязвимостями нужен для отслеживания своевременной установки обновлений безопасности. Если актив не поддерживается средствами детектирования уязвимостей необходимо либо искать новые средства, либо выводить актив из эксплуатации.

Когда IT согласны с 3 пунктами можно обсудить какие у них есть проблемы с обновлениями и как им с этим помочь.

Вчера в канале k8s (in)security был прикольный пример как в реальности может выглядеть игра в докажи-покажи

Вчера в канале k8s (in)security был прикольный пример как в реальности может выглядеть игра в докажи-покажи

Вчера в канале k8s (in)security был прикольный пример как в реальности может выглядеть игра в докажи-покажи. Автор приводит аргументы из которых должно следовать, что на хостах, где крутится кластер Kubernetes необязательно обновлять пакеты ОС. Предлагается эти аргументы опровергнуть, а также привести сценарии атаки и модель нарушителя. Для большей заманухи ИБшников это называется "риск ориентированный подход". 🙂

Игра выглядит соблазнительной и кажется, что можно легко выиграть через контраргумент:

"Никто не знает всех уязвимостей Kubernetes, возможно злоумышленнику получится провалиться из контейнера на уровень хостовой ОС и начать эксплуатировать её уязвимости".

Однако хороший специалист по Куберу (как и другой сложной IT-системе) легко накидает вам в панамку аргументов почему злоумышленнику сделать это будет крайне сложно. И вы, как неспециалист, будете иметь бледный вид. 🌝

Единственный способ не проиграть шулеру - не садиться играть по его правилам. 🃏😉

Закончил обучение на курсе "Управление Уязвимостями" от Inseca

Закончил обучение на курсе Управление Уязвимостями от Inseca

Закончил обучение на курсе "Управление Уязвимостями" от Inseca. В целом, ожидания оправдались. 🙂 Опишу то, что понравилось и то, что можно было бы улучшить.

1. Практические домашние работы. 👍 Их было 11 штук. С учётом того, что курс шёл 6 недель, получалось в среднем 2 работы в неделю. Они рассчитаны max на 1-2 часа, так что делать по вечерам было комфортно.

Большая часть домашних работ строилась вокруг 3 стендов в VirtualBox:

🔻 Виртуалка с Kali на которую нужно было поставить Nessus Essentials
🔻 Виртуалка с необновлённым Windows уязвимая к EternalBlue
🔻 Виртуалка с необновлённой Ubuntu и развёрнутым DWVA

Работы были такие:

🔹 Развернём сканер уязвимостей
🔹 Проэксплотируем EternalBlue с помощью Metasploit, забёрем хэши и побрутим их
🔹 Посканим виртуалки в режиме "чёрного ящика"
🔹 Настроем учётки на виртуалках и посканируем их с аутентификацией
🔹 Посканим DVWA Nessus-ом и Acunetix-ом и посмотрим разницу
🔹 Выгрузим уязвимости из Nessus через API, обогатим отчёты данными по эксплоитам и активной эксплуатации
🔹 Пофиксим уязвимости через обновление или отключение уязвимых сервисов, проверим, что они не детектируются или не эксплуатируются

Ещё 2 работы не были завязаны на стенды. В одной нужно было составить CVSS Base Vector-ы по описаниям уязвимостей. В другой нужно было по версии софта найти уязвимости (поиск по CPE), а затем выделить для них эксплуатабельные (эта задачка хорошо решалась с помощью Vulristics 😉).

➡️ Вопрос: можно ли проделать такие учебные активности самостоятельно? Конечно. Но это искать надо, а тут уже готовые стенды, подробно описанные методички (кроме подзадачек со звёздочкой), проверка преподавателем. Сервис. 🙂

Как видно из описания работ, упор на практическое детектирование, приоритизацию и исправление уязвимостей. Без привязки к решениям VM-вендоров.

2. Вебинары-семинары. 👍 Их было 5 штук. Проходили по субботам в 12:00. Длительность около 1,5 часов. Дмитрий Топорков рассказывал нам какую-то тему, касающуюся текущего модуля и в процессе можно было задавать вопросы, дискутировать, обмениваться опытом. Один вебинар был с Давидом Ордяном из Metascan, я о нём уже писал подробнее. Получалось лампово, посещал эти онлайн-созвоны с удовольствием.

3. Тьюторство. 👍 Каждую неделю в телегу скидывали табель с принятыми заданиями и посещёнными вебинарами. При открытии модуля скидывали оповещение с темой модуля и количеством домашек. За три дня до дедлайна оповещение, что надо домашку сдавать. Оповещения о вебинарах за день и за час. Вроде мелочи, а забота приятна. 😇 Ну и Дмитрий очень оперативно домашки проверял. 🔥

4. Контент. 👌 Большая часть контента - текст. Скринкасты в основном были доп. материалом для практических занятий. Я к текстовому контенту хорошо отношусь, т.к. его удобнее быстро просматривать. Тексты качественные. Не скажу, что по содержанию для меня были какие-то откровения, но лишний раз перечитать было прикольно. Тем, кто видит подобный контент в первый раз, должно быть интересно. Порог входа небольшой, всё разжёвывается подробно.

5. Что улучшить? 🤔 Исходя из концепции, что это базовый вендерно-нейтральный курс с фокусом на низкоуровневую работу с уязвимостями напрашивается следующее:

🔹 Добавить лабу для работу с опенсурсным решением, на котором можно построить процесс управления уязвимостями, например, Faraday Security или DefectDojo
🔹 Выделить больше времени на разбор веб-уязвимостей DVWA
🔹 Добавить про анализ безопасности конфигураций, например с помощью OpenSCAP

В целом, неплохо бы дать более цельное представление как строить VM-процесс в организации с использованием конкретных тулов. Но как курс для старта вполне норм. 👍

Спасибо коллегам из Inseca за предоставленный доступ к курсу!

PS: Также мне подарили термокружку Inseca. 😅 Я в одном из Прожекторов отмечал, что термокружки очень уж часто дарят. Но эта кружка прям норм. 🔥 Добротная, прорезиненная где надо, без каких-то ненужных наворотов. Вещь! Передаривать не буду, оставлю себе. За кружку тоже спасибо! 🙂