Интерактивчик: во время сегодняшнего мероприятия Qualys в 19:00 я буду делать пометки в чатике VK. Приглашаю всех выкатиться туда к этому времени. Перемоем косточки Qualys-ам, поугараем над штампами буржуйского ИБ-маркетинга, отметим полезные идеи и фичи. На само сообщество "Управление Уязвимостями и прочее" в VK тоже приглашаю подписаться. Пока это резервная площадка, но что-то мне подсказывает, что довольно скоро она может стать основной. 😏 Все посты туда дублирую и там открыты комментарии.
Qualys представляют TruRisk Eliminate для дополненного Patch Management-а. Не стали Qualys нагнетать интригу вплоть до мероприятия и опубликовали блог-пост с анонсом. Дело оказалось не в иммутабельной инфре, и не в виртуальном патчинге. Если одним словом - это workaround-ы.
На скриншоте TruRisk Eliminate видим отфильтрованный список уязвимостей на активах, критичность уязвимостей в виде QDS, колонки Remediations и Mitigations.
🔹 Remediations - это установка патча или установка патча с переконфигурированием.
🔹 Mitigations - это workaround-ы, нейтрализующие уязвимость без патчинга: изменение ключа реестра, изменение конфига, удаление приложения, блокировка порта, изоляция устройства и т.д.
И есть кнопка для выполнения действия на активе с помощью агента с выбором Remediations/Mitigations опции.
Логичное развитие. Раз дали возможность патчить, чего бы не дать возможность применять workaround-ы. Но сложностей с этим у Qualys будет - атас. 🫣
Что будет ещё, помимо keynote доклада от CEO Qualys?
🔹 CIS расскажут о том, когда следует устанавливать патчи (и когда не следует), минимизируя перебои в работе бизнеса. 🔹 Доклады от ИБ-компаний. InfoSys расскажут как разобраться с 80–85% критичных обновлений безопасности в течение 4–5 дней. Novacoast накинут докладом "ваши инструменты не работают". 🔹 Клиентские доклады от сотрудников JPMorgan Chase и Signature Aviation (судя по их соцсеточкам 😉). 🔹 2 продуктовых доклада Qualys про улучшение взаимодействия с IT и "remediation beyond patching".
Начало в 9:00 AM PT (19:00 MSK). Идти будет часа 4. Думаю keynote и продуктовые доклады точно стоит заценить, остальное опционально.
Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо. Алексей Лукацкий продолжает не соглашаться со мной в том, что "облачность" решения CroudStrike Falcon повлияла на масштабность BSODStrike. Он приводит "безоблачный" контр-пример: бажное обновление Google Chrome заблокировало работу со встроенным менеджером паролей для ~15 млн. пользователей. Имхо, кейсы разные и по сути, и по критичности.
🔻 Облачный вендор с прямым доступом к инфре клиентов через агентов это "ужас-ужас". И в случае сбоев (что мы наблюдали), и в случае его компрометации. Он может заявлять "у нас есть возможность творить в вашей инфре любую дичь, но мы обещаем делать только то, что вы накликаете в вебгуе", но, имхо, это неубедительно. 😐
🔻 Автообновление онпрем решений без тестирования (кейс Google Chrome) это "ужас". Если автообновления можно отключить и тестировать / накатывать обновления постепенно, а вы это не делаете, то кто ж вам виноват? 😏
Про дизлайки. Стоит ли ориентироваться на реакции при подготовке контента. Я думаю, что нет. Нужно делать то, что хочется и то, что в моменте считаешь важным и нужным. А картинки под постом это просто картинки под постом.
🔹 Тех, кто ставит реакции под постами (и негативные, и позитивные) очень мало по сравнению с теми, кто прочитал и ничего не поставил. Так что это всё нерепрезентативно.
🔹 Если человек оставил негативную реакцию и отписался от канала - отлично, значит общая лояльность аудитории повысилась. 🙂
🔹 Если человек оставил негативную реакцию и НЕ отписался от канала - супер, значит он просто обозначил мнение по какому-то конкретному вопросу (имеет право), но вообще ему канал нравится, иначе бы он отписался (см. предыдущий пункт).
Так что здесь плохих раскладов быть не может. 🙂 Особенно когда канал это просто немонетизиремое хобби и никаких целей он не преследует.
No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.
Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.
CrowdStrike - это успех! Поверь мне, это так. Защищает он лучше всех От любых кибератак. Проактивный подход, Секретное оружие: Не справится хакер, Если ОСь не загружена!
Припев: Синий экран отражает атаки! No boot - No Hacker! No boot - No Hacker!
CrowdStrike работает по лучшей из схем, С которой не может быть никаких проблем! На ваших хостах Falcon сенсоры. Их привилегии максимальны. А CrowdStrike управляют ими из своих облаков. И это нормально! (Якобы…) Команда CrowdStrike даже ночью не спит, Автоматом заливает вам Rapid Response Content "at operational speed". (Когда захочет…)
И если вам кажется, что всё это как-то страшновато, Не переживайте: CrowdStrike пропускает контент через валидатор! (Великий ВАЛИДАТОР!)
Не работает биржа, не летают самолёты - это всё детали… Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали… (Пока что…) За полтора часа сломать 8.5 миллионов хостов - задача нелегка… С таким не справится устаревший онпрем, для такого нужны облака…
А если серьёзно… В 22-ом CrowdStrike из России ушёл… И, как по мне, это очень, очень, ну просто ооочень хорошо!
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.