Архив за месяц: Февраль 2024

Как будем описывать активы в Vulremi?

Как будем описывать активы в Vulremi?

Как будем описывать активы в Vulremi? Основная идея, что это должен быть настолько гибкий формат, чтобы в него можно было разложить результаты детектирования уязвимостей из любого решения: коммерческого, опенсурсного, агентного, безагентного. Вообще любого. Поэтому задачу досконально описывать конфигурацию актива сознательно отбрасываем. Берём только то, что понадобится нам в приоритизации уязвимостей (с учётом активов) и их исправлении.

{
"asset_id": "important-host1",
"owner": "marketing_department",
"patching_engineer": "johnsmith1",
"patching_rule": "once in a month",
"asset_value": "key",
"asset_type": "server",
"perimeter": false,
"last_scan": "2024-02-06T21:07:27+00:00",
"vulnerabilities":
[
{
"vulnerability_id": "CVE-2024-00001",
"cvss_v3_env": "CR:L/IR:M/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:L/MI:L/MA:L",
"related_objects":
[
{
"object_type": "ubuntu_package",
"name": "anacron",
"version": "2.3-38ubuntu1"
}
]
}
]
}

Параметры для описания самого актива

🔹 asset_id - идентификатор актива. Логично было бы использовать для него hostname, но ситуации бывают разные, поэтому не конкретизирую. Возможно это будет id из CMDB-шки.
🔹 owner - ответственный за актив, с которым можно договариваться о регулярных и экстренных обновлениях актива. Обычно какое-то бизнесовое подразделение.
🔹 patching_engineer - тот, кто непосредственно должен обновлять активы. С него нужно спрашивать, если договоренности по регулярным или экстренным обновлениям нарушаются.
🔹 patching_rule - правило регулярного обновления, которое было согласовано с овнером. Если оно нарушается, то спрашиваем с patching_engineer.
🔹 asset_value - ценность актива для злоумышленника. Если, получив доступ к активу, злоумышленник может непосредственно реализовать недопустимое событие, то значит актив целевой (target). Если, получив доступ к активу, злоумышленник может развить атаку на целевой актив, то значит актив ключевой (key). Если и не ключевой, и не целевой, то обычный (ordinary).
🔹 asset_type - тип актива. Critical Infrastructure, Server, Network Equipment, Desktop, Other. Ровно как в методике оценки уровня критичности уязвимости ФСТЭК, примеряемся к использованию. 😏
🔹 perimeter - влияет ли состояние актива на безопасность периметра. Тоже как в методике ФСТЭК.
🔹 last_scan - когда этот актив сканировали на уязвимости в последний раз. Чтобы понимать насколько у нас информация по уязвимостям актуальная. Если нашли активы со старой датой - идём разбираться со сканами.

Параметры для описания уязвимостей на активе

🔸 vulnerability_id - идентификатор уязвимости. CVE. Если нет CVE, то BDU. Если и его нет, то любой уникальный идентификатор уязвимости. По этому идентификатору найдем описание этой уязвимости в объекте типа vulnerability, который я буду описывать позже.
🔸 cvss_v3_env - environmental часть CVSS вектора на случай, если мы захотим поманипулировать через него критичностью уязвимости для данного актива.
🔸 related_objects - объекты актива, связанные с уязвимостью. Опциональная штука, которая может быть использована patching_engineer-ом для того, чтобы понять на что ругается сканер. Если в связанных объектах линуксовый пакет, значит его нужно обновлять и всё будет ок. С другой стороны, там может быть описан не только пакет, но и, например, софт. В этом случае можно будет накрутить логику учёта российский он или нет, а следовательно решать требуется ли тестирование безопасности обновления или не требуется. Но подробнее эту штуку буду расписывать позже, уже после MVP.

Да они издеваются: очередная AuthBypass в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)

Да они издеваются: очередная AuthBypass в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024)

Да они издеваются: очередная AuthBypass в Ivanti Connect Secure, Ivanti Policy Secure и ZTA (CVE-2024-22024). 🤩 Правда для этой пока нет признаков эксплуатации вживую. Да и перечень уязвимых версий невелик. К тому же исправление выпущенное 31 января должно защищать и от этой уязвимости тоже. На общем фоне вроде не такая уж и беда. Но какое же этот Connect Secure лютое решето. 😁

И о важном: вышло второе DLC к Atomic Heart

И о важном: вышло второе DLC к Atomic Heart

И о важном: вышло второе DLC к Atomic Heart. 🙂 Начал фоном смотреть прохождение Куплинова. Первое DLC, на мой вкус довольно нудное и малоинформативное, было продолжением короткой концовки. Второе DLC является продолжением длинной концовки. Пока это какой-то странный платформер с пряничными человечками - Нечаев путешествует по лимбо. Но встретилась прикольная отсылка к Вавилон 5, которую я никак не мог проигнорировать: "Варлон табута-чок!". 😅 Олды помнят.

Про мульт по Вавилон 5
Про книгу по Atomic Heart

Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах? Мельком упомянули эту тему в последнем Прожекторе в связи с отключением продуктов Avast

Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах? Мельком упомянули эту тему в последнем Прожекторе в связи с отключением продуктов Avast

Нужен ли Антивирус (или шире - Endpoint Protection) на Linux хостах? Мельком упомянули эту тему в последнем Прожекторе в связи с отключением продуктов Avast. Также на днях была рекомендация НКЦКИ по использованию антивирусной защиты на всех узлах сети. Но если не смотреть только на регуляторные требования, как считаете антивирус на Linux хостах это необходимость или излишество?

Предлагаю пройти опрос: На ваш взгляд, Антивирус/Endpoint Protection нужен на Linux хостах с т.з. повышения уровня реальной защищенности?

🔻 Нужен
🔻 Нужен, но только на серверах
🔻 Нужен, но только на десктопах
🔻 В организации нужен, дома не нужен
🔻 Зависит от конкретного дистрибутива: где-то нужен, а где-то достаточно встроенных средств защиты
🔻 Не нужен
🔻 Не знаю/Другое

НКЦКИ отреагировали на взлом AnyDesk, выпустив рекомендации по использованию средств удалённого доступа

НКЦКИ отреагировали на взлом AnyDesk, выпустив рекомендации по использованию средств удалённого доступа

НКЦКИ отреагировали на взлом AnyDesk, выпустив рекомендации по использованию средств удалённого доступа.

"1. Ограничьте удаленный доступ ко всем сервисам и устройствам в ИТС, кроме безусловно необходимых.
2. Обратите особое внимание на учетные записи, применяемые для удаленного подключения как своих работников, так и специалистов подрядных организаций, в том числе выполняющих задачи по технической поддержке.
3. Убедитесь, что средства антивирусной защиты и межсетевого экранирования надлежащим образом настроены и функционируют на всех узлах ИТС.
4. Проверьте обновление всех сервисов и оборудования, которые используются для удаленного доступа (VPN, устройства сетевой инфраструктуры).
5. Используйте удаленный доступ в сеть организации строго с двухфакторной авторизацией.
6. Запретите использовать сторонние средства удаленного доступа в корпоративную сеть, которые подключаются через промежуточные сервера и самостоятельно проводят авторизацию и аутентификацию."

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКОВ последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО

В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivanti Connect Secure (CVE-2024-21893) эксплуатируется в таргетированных атаках - УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC-а исследователями из Rapid7. 🤷‍♂️ Shadowserver сообщает о 170 засветившихся атакующих IP.

Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivanti однозначно есть. 🧙‍♀️

С интересом наблюдаю за развитием событий. 🙂🍿

Злоумышленники поломали компанию AnyDesk - вендора решения для удалённого доступа к десктопам

Злоумышленники поломали компанию AnyDesk - вендора решения для удалённого доступа к десктопам

Злоумышленники поломали компанию AnyDesk - вендора решения для удалённого доступа к десктопам. Компания сообщает, что у нее 170 000 клиентов, включая 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS и ООН.

🔻 Стало известно, что злоумышленники украли исходный код и сертификаты подписи кода.
🔻 Сертификаты отозвали, скомпрометированные продакшн-системы пофиксили или заменили.
🔻 AnyDesk заявляют, что никакие токены аутентификации не были украдены ("Наши системы не предназначены для хранения закрытых ключей, токенов безопасности или паролей, которые могут быть использованы для подключения к устройствам конечных пользователей"), но пароли к веб-порталу рекомендуют сменить.
🔻 Пишут, что данные пользователей AnyDesk (18 317 акков) начали продавать в дарквебе.

Вендор рекомендует обновить решение AnyDesk до новой версии. Имхо, ещё лучше перейти на аналогичные отечественные решения.