Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK. Приглашаю всех выкатиться туда к этому времени. Перемоем косточки Qualys-ам, поугараем над штампами буржуйского ИБ-маркетинга, отметим полезные идеи и фичи. На само сообщество "Управление Уязвимостями и прочее" в VK тоже приглашаю подписаться. Пока это резервная площадка, но что-то мне подсказывает, что довольно скоро она может стать основной. 😏 Все посты туда дублирую и там открыты комментарии.
Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.
На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.
🔹 Remediations - это установка патча или установка патча с переконфигурированием.
🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.
И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.
Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣
Завтра Qualys проводит на BrightTALK большое онлайн мероприятие про Patch Management. Обещают представить концепцию "Patching goes Patchless". Нагнетают интригу, обещают "groundbreaking new strategies". 🤔 Будут продвигать иммутабельную инфраструктуру или виртуальный патчинг? Upd. Не угадал.
Что будет ещё, помимо keynote доклада от CEO Qualys?
🔹 CIS расскажут о том, когда следует устанавливать патчи (и когда не следует), минимизируя перебои в работе бизнеса.
🔹 Доклады от ИБ-компаний. InfoSys расскажут как разобраться с 80–85% критичных обновлений безопасности в течение 4–5 дней. Novacoast накинут докладом "ваши инструменты не работают".
🔹 Клиентские доклады от сотрудников JPMorgan Chase и Signature Aviation (судя по их соцсеточкам 😉).
🔹 2 продуктовых доклада Qualys про улучшение взаимодействия с IT и "remediation beyond patching".
Начало в 9:00 AM PT (19:00 MSK). Идти будет часа 4. Думаю keynote и продуктовые доклады точно стоит заценить, остальное опционально.
Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо. Алексей Лукацкий продолжает не соглашаться со мной в том, что "облачность" решения CroudStrike Falcon повлияла на масштабность BSODStrike. Он приводит "безоблачный" контр-пример: бажное обновление Google Chrome заблокировало работу со встроенным менеджером паролей для ~15 млн. пользователей. Имхо, кейсы разные и по сути, и по критичности.
🔻 Облачный вендор с прямым доступом к инфре клиентов через агентов это "ужас-ужас". И в случае сбоев (что мы наблюдали), и в случае его компрометации. Он может заявлять "у нас есть возможность творить в вашей инфре любую дичь, но мы обещаем делать только то, что вы накликаете в вебгуе", но, имхо, это неубедительно. 😐
🔻 Автообновление онпрем решений без тестирования (кейс Google Chrome) это "ужас". Если автообновления можно отключить и тестировать / накатывать обновления постепенно, а вы это не делаете, то кто ж вам виноват? 😏
Смешивать и уравнивать это не стоит. 😉
Про дизлайки. Стоит ли ориентироваться на реакции при подготовке контента. Я думаю, что нет. Нужно делать то, что хочется и то, что в моменте считаешь важным и нужным. А картинки под постом это просто картинки под постом.
🔹 Тех, кто ставит реакции под постами (и негативные, и позитивные) очень мало по сравнению с теми, кто прочитал и ничего не поставил. Так что это всё нерепрезентативно.
🔹 Если человек оставил негативную реакцию и отписался от канала - отлично, значит общая лояльность аудитории повысилась. 🙂
🔹 Если человек оставил негативную реакцию и НЕ отписался от канала - супер, значит он просто обозначил мнение по какому-то конкретному вопросу (имеет право), но вообще ему канал нравится, иначе бы он отписался (см. предыдущий пункт).
Так что здесь плохих раскладов быть не может. 🙂 Особенно когда канал это просто немонетизиремое хобби и никаких целей он не преследует.
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!
Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!
CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы…)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет…)
И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали…
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали…
(Пока что…)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка…
С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл…
И, как по мне, это очень, очень, ну просто ооочень хорошо!
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
