Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо

Добавить комментарий

Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо

Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо. Алексей Лукацкий продолжает не соглашаться со мной в том, что "облачность" решения CroudStrike Falcon повлияла на масштабность BSODStrike. Он приводит "безоблачный" контр-пример: бажное обновление Google Chrome заблокировало работу со встроенным менеджером паролей для ~15 млн. пользователей. Имхо, кейсы разные и по сути, и по критичности.

🔻 Облачный вендор с прямым доступом к инфре клиентов через агентов это "ужас-ужас". И в случае сбоев (что мы наблюдали), и в случае его компрометации. Он может заявлять "у нас есть возможность творить в вашей инфре любую дичь, но мы обещаем делать только то, что вы накликаете в вебгуе", но, имхо, это неубедительно. 😐

🔻 Автообновление онпрем решений без тестирования (кейс Google Chrome) это "ужас". Если автообновления можно отключить и тестировать / накатывать обновления постепенно, а вы это не делаете, то кто ж вам виноват? 😏

Смешивать и уравнивать это не стоит. 😉

Про дизлайки

Добавить комментарий

Про дизлайки

Про дизлайки. Стоит ли ориентироваться на реакции при подготовке контента. Я думаю, что нет. Нужно делать то, что хочется и то, что в моменте считаешь важным и нужным. А картинки под постом это просто картинки под постом.

🔹 Тех, кто ставит реакции под постами (и негативные, и позитивные) очень мало по сравнению с теми, кто прочитал и ничего не поставил. Так что это всё нерепрезентативно.

🔹 Если человек оставил негативную реакцию и отписался от канала - отлично, значит общая лояльность аудитории повысилась. 🙂

🔹 Если человек оставил негативную реакцию и НЕ отписался от канала - супер, значит он просто обозначил мнение по какому-то конкретному вопросу (имеет право), но вообще ему канал нравится, иначе бы он отписался (см. предыдущий пункт).

Так что здесь плохих раскладов быть не может. 🙂 Особенно когда канал это просто немонетизиремое хобби и никаких целей он не преследует.

No Boot - No Hacker!

1 комментарий

No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.

Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷‍♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.

CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!

Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!

CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы…)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет…)

И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)

Не работает биржа, не летают самолёты - это всё детали…
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали
(Пока что…)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка…
С таким не справится устаревший онпрем, для такого нужны облака…

А если серьёзно… В 22-ом CrowdStrike из России ушёл…
И, как по мне, это очень, очень, ну просто ооочень хорошо!

MP3 файл

TAdviser выпустили карту российского рынка информационной безопасности 2024

Добавить комментарий

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".

В прошлом году там было 15 вендоров, в этом 21.

🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl

Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔

Обновил свой F+ R570E до Аврора 5

Добавить комментарий

Обновил свой F+ R570E до Аврора 5

Обновил свой F+ R570E до Аврора 5. А точнее до (Петропавловск-Камчатский). Это было не так тривиально. 🙄

🔹 Я умудрился забыть пароль для входа в устройство. 🤦‍♂️ Как оказалось, без пароля устройство до заводских настроек штатным образом не откатишь. 😱 Помог и сброс пароля в recovery режиме. 🙂 Пароль в Авроре это важно, не забывайте!

🔹 Обновление до 5-ой версии доступно с 23 июля. Нужно прислать на почту чек о покупке устройства (чудесным образом сохранился с прошлого года 🙏🏻), IMEI и серийный номер устройства (+ их фото с наклейки на телефоне). Фото с паспортом не требовали. 😅

🔹 В ответ присылают лицензионное соглашение (а-ля "обязуюсь не помогать конкурентам ковырять Аврору"), мануал по обновлению и QR-код для "Корпоративной активации" через Аврора Центр.

Как видите, список предустановленных приложений +- такой же и долгожданного RuStore там нет. 🤷‍♂️ Только привычный Маркет с витринами, подключаемыми через QR-коды.

Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился?

Добавить комментарий

Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился?

Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился? Во всё том же официальном посте.

🔻 Констатируют, что обновления самого агента они не пушат. Пользователи могут обновлять агенты с задержкой версии (N-1, N-2).

🔻 Обещают лучше тестить Rapid Response Content (RRC). Ожидаемое, но малоконтролируемое бла-бла. 🤷‍♂️

🔻 Обещают дать пользователям больше контроля над раскаткой RRC. Вендорам подобных сервисов следует к этому присмотреться ❗️:

🆕 Реализуют стратегию поэтапного развертывания (ПР), начиная с канареечного.
🆕 Улучшат мониторинг производительности cенсоров и системы для управления ПР.
🆕 Предоставят пользователям гранулярный выбор когда и где обновления будут развёрнуты.
🆕 Будут выпускать RRC release notes. 😏

В общем, вольницу с обновлениями слегка прикрутят. Однако это улучшения на уровне Web-GUI. 😉 Вендор облачного сервиса продолжит сидеть агентами в инфре клиентов. Риски аналогичного сбоя и риски компрометации вендора останутся. 🤷‍♂️

Вышел официальный пост о причинах BSODStrike

2 комментария

Вышел официальный пост о причинах BSODStrike

Вышел официальный пост о причинах BSODStrike.

🔻 Хосты ломало обновление Rapid Response Content. Это интерпретируемый бинарь с конфигурационными данными ("поведенческими эвристиками"). Это не код и не драйвер ядра. Эти обновления инициировал сам вендор "at operational speed".

🔻 В посте масса подробностей по устройству CrowdStrike Falcon. Суть же в том, что при подготовке контента валидатор работал неправильно: "Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data." При интерпретации контента на хосте возникала ошибка out-of-bounds memory read и BSOD.

🔻 Обновление катали 19 июля с 04:09 UTC по 05:27 UTC на Windows хосты с сенсорами версии 7.11, которые были в онлайне.

В общем, всё как в моих предыдущих постах про вендоров облачных сервисов и безусловное доверие к обновлениям контента. Вендор пушил обновление контента из облака по собственному усмотрению и умудрился ушатать хосты. 🤷‍♂️