Максим Казенков из команды VK рассказал про их самописный периметровый сканер портов Nmon. Если верить сравнению, он чуть медленнее masscan и при этом детектит точнее Nmap. Есть прикольная фича для детектирования ML-ем админок, дефейса, фишнига. VK коммерческие сканеры уязвимостей для сканирования периметра тоже используют, в основном для детектирования уязвимостей.
Павел Пархомец из Wildberries рассказал про то, как они эволюционно развивали самописный сканер распределенной инфраструктуры. В итоге сделали его на SaltStack и описывают как IaC. Речь именно об активном сканере. В качестве движков используются опенсурсные утилиты. Сами пилят детекты на Nuclei. Хостовые сканеры (OVAL) в Wildberries тоже используют, но это другой проект. О нём тоже ждём доклад. 😉
Почему пилили своё, а не взяли коммерческий сканер? Дешевле было своё написать и получилось лучше заточиться под свою конкретную инфру.
Бывший мой коллега по Т-Банку Николай Панченко рассказал как харденинг помогал от важных уязвимостей K8s этого года. 🔥 Я не большой поклонник харденинга и воркэраундов как метода устранения уязвимостей, но как метод быстрой митигации, чтобы выиграть время на патчинг - это круто и важно. Список CVE-шечек интересный. 😉
Выступаю через 15 минут, в 12:10. Включайте трансляцию на https://team.vk.company/confabmax/ Работает без регистрации, Трек 1 😉
Upd. выложил видео
Декабрьский Microsoft Patch Tuesday. 89 CVE, из которых 18 были добавлены с ноябрьского MSPT. 1 уязвимость с признаками эксплуатации вживую:
🔻 EoP - Windows Common Log File System Driver (CVE-2024-49138). Подробностей по этой уязвимости пока нет.
Строго говоря, была ещё одна уязвимость, которая эксплуатировалась вживую: EoP - Microsoft Partner Network (CVE-2024-49035). Но это уже исправленная уязвимость в веб-сайте Microsoft и я вообще не уверен, что для неё стоило заводить CVE. 🤔
Для остальных уязвимостей пока нет ни признаков эксплуатации вживую, ни эксплоитов (даже приватных).
Можно выделить:
🔹 RCE - Windows LDAP (CVE-2024-49112, CVE-2024-49127)
🔹 RCE - Windows LSASS (CVE-2024-49126)
🔹 RCE - Windows Remote Desktop Services (CVE-2024-49106 и ещё 8 CVE)
🔹 RCE - Microsoft MSMQ (CVE-2024-49122, CVE-2024-49118)
🔹 RCE - Microsoft SharePoint (CVE-2024-49070)
Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса. В описании вебинара было, конечно, некоторое лукавство. Вкусные дискуссионный вопросы были скорее для заманухи. 😏
Фокус был на возможностях платформы Securitm. Что, в общем, тоже неплохо. Платформа интересная, функциональная. Мне больше всего нравятся их возможности по иерархическому описанию активов в инфраструктуре и заполнение описания с помощью email-опросников. 👍
Понравилась отсылка к нашему опросу по состоянию VM-процесса в организациях (25% - никакое 😱).
Традиционно НЕ понравилось описание VM-процесса через неработающий PDCA Gartner-а (я за непрерывные "подпроцессы", а не "шаги") и тезис, что какие-то уязвимости можно не исправлять (имхо, фиксить в соответствии с приоритетами нужно всё). 👎🤷♂️
По поводу конкретных сканеров уязвимостей и их количества ответ был в духе "все по уровню зрелости, деньги есть - берите побольше и подороже, а нету - и на NMAPе можно VM построить". 😏😅
Global Digital Space выпустили эпизод подкаста про сканеры уязвимостей с моим участием. Видео доступно на VK Видео, RUTUBE, YouTube и Дзен. Записывали 14 ноября. Пост в канале GDS.
Я отсмотрел и сделал таймстемпы. 🙂
00:00 Представляемся
01:53 Откуда пошли сканеры уязвимостей?
Владимир, Лука и Кирилл разгоняют, что всё пошло с оффенсива (даже с хакерских форумов). Я возражаю, что может для сканеров неизвестных уязвимостей (условные DAST) это и справедливо, но сканеры известных (CVE) уязвимостей выросли из инициатив по их описанию (NVD и баз, которые были до неё) и из задач дефенса. 🙂🛡
10:43 Сканер как средство инвентаризации инфраструктуры, внезапный соскок на NGFW и холивар на тему является ли nmap сканером уязвимостей
14:34 Коммерческие сканеры уязвимостей в России и за рубежом, размежевание по фидам правил детектирования уязвимостей и о том, кто эти фиды готовит в России и на Западе
20:21 Про варез, Burp и OWASP ZAP
21:12 Нужно ли продолжать использовать западные сканеры и фиды по уязвимостям?
26:14 Правда, что всю РФ поломали?
28:27 Использовать западные сканеры для периметра (EASM) норм или нет?
32:12 Настоящее сканирование это только Black Box, а сканирование с аутентификацией ненастоящее? О когнитивном пентестерском искажении 😏
41:37 А существует ли периметр?
43:27 Для чего мы делаем VM-сканирование с аутентификацией и о важности контекста продетектированных уязвимостей (трендовость, эксплуатабельность, воркэраунды, импакт)
49:55 Про приоритизацию уязвимостей, трендовость и эксплуатабельность
54:13 Экспертиза ресёрчерская и экспертиза детектирования уязвимостей это одно и то же?
56:00 Должен ли сканер детектировать 0day уязвимости?
56:40 Что есть False Positive ошибка сканера уязвимостей?
1:04:48 В чём задача сканера уязвимостей? Оффенсеровский и дефенсеровский подход, детектирование ВСЕХ уязвимостей это "заливание заказчика" или БАЗА?
Это самая жаркая часть дискуссии 🙂🔥
1:21:16 Почему множатся EASMы?
1:28:44 Как выбирать VM и Asset Management решения?
1:36:00 Куда мы идём?
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.