Архив за месяц: Сентябрь 2024

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России. Словил ностальгию, так как чуть не пошёл работать в ИБ департамент ЦБ, когда ещё учился на старших курсах универа. 😇 Отбор прошёл, всё понравилось, но совмещать тогда с учёбой показалось сложновато. 🤷‍♂️🙂 Помню, что здание главного вычислительного центра ЦБ РФ на Сходненской произвело впечатление продуманностью и мерами безопасности. 👍

По описанию VM-процесс достаточно стандартный:
🔹 регулярное сканирование инфраструктуры
🔹 анализ и приоритизация уязвимостей
🔹 ведение базы выявленных уязвимостей
🔹 контроль устранения
🔹 участие в разработке и согласовании компенсирующих мер

В нагрузку Compliance Management / Hardening и организация работ по пентесту (ну а кому ж ещё 🙂). Тема взаимодействия с ФинЦЕРТом не раскрыта. 😉

Список ожиданий адекватный: опыт работы со сканерами, общий кругозор по ИБ, умение кодякать (Python, Bash).

Upd. ТГ рекрутёра 😉

Выпустил новую версию Vulristics 1.0.8 с небольшими улучшениями юзабилити

Выпустил новую версию Vulristics 1.0.8 с небольшими улучшениями юзабилити

Выпустил новую версию Vulristics 1.0.8 с небольшими улучшениями юзабилити. Люблю, когда прилетают pull-реквесты в мои опенсурсные проекты. 😊 В этот раз пришла помощь от пользователя dvppvd:

🔹 Установлены отступы (padding) в css таблице, чтобы сделать html отчет более читабельным.

🔹 При запуске утилиты без параметров показывается справка и примеры запуска утилиты для анализа Microsoft Patch Tuesday уязвимостей за определённый год и месяц, либо для анализа произвольного набора CVEшек.

🔹 Добавлены отступы для текстового баннера.

В TODO для следующих релизов:

🔸 Поддержать CVSS 4 для тех data sources, где это актуально.

🔸 Разработать автоматические тесты, проверяющие работу утилиты для известных CVE-идентификаторов.

🔸 Реализовать data source для GitHub репозитория CVEProject, чтобы массово анализировать CVE-идентификаторы (по аналогии с data source для БДУ ФСТЭК).

Если хотите поучаствовать, присоединяйтесь к AVLEONOV Start. 😉

Changelog

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0

У Tenable вышел пресс-релиз по поводу новой версии Nessus 10.8.0. Сама версия, правда, вышла 30 июля, PR-щики не особо спешили. 🙂 Самое заметное изменение - теперь для уязвимостей помимо CVSS и собственного скора Tenable VPR отображается ещё и скор EPSS (Exploit Prediction Scoring System).

Выглядит занимательно, но я как относился к EPSS со скепсисом, так и отношусь. Исследование от Cyentia (можете у Александра Редчица посмотреть), меня не убеждает. 🤷‍♂️ Хайпа много, а результаты как на иллюстрации: VPR высокий, а EPSS низкий. И тут либо фирменная проприетарная система приоритизации от Tenable косячит, либо EPSS. 😎

Ещё в Nessus добавили поддержку CVSS v4, добавили возможности по настройке агентов (в Nessus Manager), доработали offline режим (убрали трафик, генерируемый функциями, которые полагаются на активное подключение к Интернету). Востребованность оффлайн режима после 22-го значительно возросла (ЕВПОЧЯ 😉), можно только поприветствовать улучшения. 👍

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера. Поддерживается Windows (X86-32/64) и Linux (X64-RPM, X64-DEB). Есть видео с демонстрацией как это делать в GUI Qualys.

Зачем оно нужно?

🔹 Руками ставить агенты на хосты трудоемко и это может приводить к ошибкам.
🔹 Можно использовать сторонние инструменты автоматизации установки приложений (если есть). Эта фича отчасти снимает необходимость в таких инструментах.
🔹 Обнаружение и развертывание агентов можно делать в рамках одного процесса. Хосты без агента можно отслеживать через "QID 45592 – Qualys Cloud Agent not installed".

Функция заработает для всех к декабрю 2024 года, пока включают ручками через TAM-а.

Очень логичное улучшение. У Qualys агенты давно стали основным способом получения данных с хоста и изменения его состояния (включая патчинг и применение workaround-ов). Теперь разворачивание агента становится не сложнее обычного безагентного сканирования хоста. 👍

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077), о которых я писал недели 3 назад, были удалены

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service MadLicense (CVE-2024-38077), о которых я писал недели 3 назад, были удалены

Обнаружил, что данные ресёрчей по Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077), о которых я писал недели 3 назад, были удалены. И на GitHub, и на Google Sites.

И что это всё значит? 🤔 А фиг его знает. 🤷‍♂️ Учитывая, что пропало сразу на двух платформах, то удалили видимо сами китайские ресёрчеры. Зачем они это сделали? Возможно они наладили диалог с Microsoft и те попросили их убрать всё из паблика (что, естественно, глуповато - Интернет всё помнит). Возможно кто-то другой попросил их это сделать. 🫡 Лишний повод обратить внимание на эту уязвимость.

По поводу того, что D-Link отказались исправлять 4 эксплуатабельные RCE уязвимости в роутере DIR-846W

По поводу того, что D-Link отказались исправлять 4 эксплуатабельные RCE уязвимости в роутере DIR-846W

По поводу того, что D-Link отказались исправлять 4 эксплуатабельные RCE уязвимости в роутере DIR-846W. Как таковой новости в этом нет. 🤷‍♂️

🔹 Все производители в определённый момент прекращают поддержку ранее выпущенных устройств, включая исправление критичных уязвимостей. И им пофиг, что устройства ещё используются. Типа выкидывайте и нашу новую пепяку покупайте. Очень экологично, да? 😏 Это не только роутеров касается, но и тех же камер, и всего с приставкой "Smart".

🔹Вы сами отвечаете за безопасность своих устройств. Необходимо проверять их на наличие уязвимостей, обновлять прошивку до последней версии, а если прошивка недоступна, то применять workaround-ы или заменять устройство. 🤷‍♂️ Это на тему HomeVM.

🔹 Государство должно принуждать производителей Smart-устройств заниматься ИБ. По аналогии как это делается в UK. Имхо, данные по EoL/EoS на упаковке устройств должны быть заметны как предупреждения на пачках сигарет. А срок поддержки должен быть не меньше 10 лет.

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг"

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию Риск безопасности как долг

Прочитал про подход DigitalOcean к Vulnerability Management-у и концепцию "Риск безопасности как долг". Основные моменты можно почитать у Security Wine. Как я себе это понимаю, суть в следующем:

🔹 Они якобы отказываются от отслеживания выполнения SLA на устранение уязвимостей. При этом таски на устранение уязвимостей заводят и фиксируют квази-SLA (под названием "Accepted Insecure Time").

🔹 После того как AIT для таска/уязвимости вышел, они "ставят команды на счётчик". 😏 Скорость ежедневного прироста долга зависит от критичности уязвимости.

🔹 Команды, у которых размер общего долга выходит за определённые значения, шеймят и стимулируют. 🥕

🔹 Лицами, принимающими решения за устранение уязвимостей выставляются руководители инженерных и продуктовых отделов, а не безопасники. 🫠 ИБ только счётчик включают. 😈

Не бог весть какая новация, но как вариант построения работы с командами, забивающими на SLA - почему бы и нет. 🙂 БОСПУУ не противоречит.