Архив за месяц: Апрель 2024

Мой ТОП-3 докладов в VM-треке Территории Безопасности

Мой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории Безопасности

Мой ТОП-3 докладов в VM-треке Территории Безопасности. Когда будут доступны видео и слайды, планирую пересмотреть и взять в проработку. 🙂

🥉 Александр Ненахов, «Инфосистемы Джет», "Как правильно выстраивать процесс мониторинга поверхности атаки". Интересная подборка утилит и сервисов для инвентаризации периметра, поиска уязвимостей, поиска утечек учетных записей, мониторинга теневых ресурсов.

🥈 Дмитрий Евдокимов, Luntry, "Управление уязвимостями в микросервисах и контейнерных средах". Понравилось про то, как нерадивые девопсы препятствуют детектированию уязвимостей в докер-образах и обоснование почему пакеты на нодах кубера не имеет особого смысла обновлять. 🤔

🥇 Илья Зуев, ex-Райффайзенбанк, "Инвентаризация или с чего начинается безопасность?". Крепкая заявка на детальный фреймворк по инвентаризации организаций: от периметра и IoT до юридических документов и данных. 👍 Интересно было про поиск физических закладок-малинок, мимикрирующих под сетевые устройства организации. 😱

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.

🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷‍♂️ Нужно выявлять такое и репортить.

Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов.

🔹 Почему так много уязвимостей Astra Linux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Linux Kernel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Windows? Их Microsoft выпускали не как CVE-шки, а как ADVisories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷‍♂️
🔹 Для уязвимостей Debian Linux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷‍♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.

Отчитался-отвыступался на Территории Безопасности

Отчитался-отвыступался на Территории Безопасности
Отчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории Безопасности

Отчитался-отвыступался на Территории Безопасности.

🔹 Аналитический блок открыл Рустэм Хайретдинов. Его основные тезисы: 1. Низкая конкуренция на российском рынке VM, высокие цены, прямое импортозамещение невозможно (не соглашусь, цена/качество Nessus это был демпинг, да и для российских инфраструктур западные решения перестают быть актуальными). 2. Облачным сервисам никто больше не верит (имхо, иностранным да, а российским вроде норм 🤷‍♂️) 3. Российские вендоры в меньшей степени заинтересованы в публикации информации об уязвимостях.

🔹 Дальше я раскрывал тему уязвимостей в БДУ ФСТЭК без ссылок на CVE, среди которых значительная часть и есть уязвимости российских вендоров. 😉

🔹 Дискуссия по VM-у понравилась. Попушил тему с управлением активами, безусловными обновлениями, приоритизацией и выделением трендовых уязвимостей. 👍

Зрителей на дискуссии было не особо много, т.к. в параллель было ещё 2 дискуссии и одна с Алексеем Лукацким 🙂. Ещё и кейтеринг был обильный и разнообразный. 😉

Прибыл на Территорию Безопасности

Прибыл на Территорию БезопасностиПрибыл на Территорию БезопасностиПрибыл на Территорию БезопасностиПрибыл на Территорию Безопасности

Прибыл на Территорию Безопасности. Первый раз в Hyatt Regency Moscow Petrovsky Park. Дорого-богато-просторно. 👍 Зона выставки и кейтеринга прям здоровенная. Хорошая площадка. Зал тоже отличный и вместительный. Ну разве что экран можно было бы поконтрастнее, но это уже придирки.

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке
На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-трекеНа Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке

На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке. Галочками пометил то, где планирую быть. Вопросиками пометил то, где мне кажется может быть оффтоп и что я, возможно, смотреть не буду (безусловно, субъективно, но вдруг вам тоже интересно 😉). Также на карте выставки отметил места вендоров связанных с Vulnerability Management / Compliance Management.