Нашёл идеальный головной убор для созвонов с овнерами систем. 😆 Несите ответственность [за поддержание вашей IT-инфраструктуры в безопасном состоянии], следуйте правилам [по регулярному обновлению хостов, миграции с EOL операционок, оперативному исправлению критичных уязвимостей].
Подробности по "российскому Shodan-у" от Минцифры. Видимо эта тема будет в Роскомнадзоре:
"Роскомнадзор на базе ЦМУ (центра мониторинга и управления сетью связи общего пользования) создаёт отечественную доверенную систему сканирования, которая позволит выявить уязвимости российских информационных ресурсов, предоставляя возможность их оперативного устранения".
А собственно Shodan, Census, ZoomEye и прочих видимо будут как-то блочить:
"С целью защиты российских систем одновременно планируется принять меры по ограничению сканирования зарубежными сервисами российского сегмента интернета".
По внутренностям системы сканирования деталей пока нет, но помним презентацию Rooster-а от CyberOK на PHDays. 😉
Результаты сканирования RedCheck и ScanOVAL для Windows хостов. Есть коммерческий VM-продукт RedCheck от АЛТЭКС-СОФТ и бесплатный локальный сканер уязвимостей ScanOVAL от ФСТЭК, который также использует контент от АЛТЭКС-СОФТ. Было интересно посмотреть, а есть ли какая-то разница в результатах сканирования. Возможно какая-нибудь разница в контенте или в работе движка. Сравнение отчетов по CVE-шкам для нескольких тестовых Windows хостов с разной конфигурацией подтвердило: разницы в результатах сканирования нет, совпадение по 100% CVE. Так что, если считать ScanOVAL эталонным сканером, то RedCheck будет полностью соответствовать этому эталону. Уточнение: при сканировании RedCheck-ом использовался транспорт WinRM.
Прошло 10 лет с утечки Сноудена. Она подтвердила как легко американскому государству удается устанавливать тайные отношения с американским бигтехом. Например, в рамках программы PRISM. Вполне ожидаемо было, что все сообщения пользователей бесплатных интернет-сервисов сливаются и анализируются понятно кем. А скептики-западники говорили, что доказательств нет и уважаемые американские компании на такое никогда не пойдут, т.к. это уничтожит их репутацию и бизнес. А потом вдруг доказательства этому появились. Ну надо же. 😏
Совершенно не удивлюсь, если американскому государству также легко договариваться с американскими IT/ИБ вендорами (с некоторыми ещё в рамках PRISM договорились). И из какой-нибудь будущей утечки мы узнаем об "уязвимостях", которые появились в некоторых продуктах не случайно, а в рамках какой-нибудь гипотетической программы ACCESS.
Сам Сноуден мне несимпатичен. Инсайдер, сливший документы работодателя. Никаких сантиментов к России не питал, пытался укрыться в Исландии, Китае, Германии, странах Латинской Америки, да где угодно ещё. Не вышло, в итоге получил убежище, а потом и гражданство здесь. При этом периодически позволял себе всякие критические политические заявления по поводу России, от которых вполне мог бы и воздержаться (см. хронологию в статье на wiki). В общем, такой себе персонаж, но определенную пользу он, безусловно, принёс.
Про атаки на Битрикс и прочие CMS-ки. Пошла волна обсуждений как же так получается, что сайты на Битриксе массово ломают, несмотря на доступность обновлений и бюллетени регуляторов. Основной проблемой видится отсутствие автоматического обновления CMS-ки или выделенного человека, который занимается обновлением.
Есть ли возможность автоматического обновления в CMS Битрикс? Я не пользователь Битрикса, поиском такую опцию не нашел. Нашел только запрос в разделе с идеями:
Автообновление сайта (08.11.2011). Сделать опциональную возможность автообновления сайта. Часть ошибок устраняются через обновления и хотелось бы чтобы при установке определенной опции производилось автоматическое обновление сайта.
Ответ (15.11.2011): Мы считаем что обновление - это достаточно ответственная процедура и требует контроля. Поэтому в ближайшее время вряд ли появится данный функционал.
Не знаю, может за 10+ лет что-то и поменялось. 🤷♂️ Если такую функциональность добавили, то нужно пользоваться.
Автообновление вещь хорошая, мой бложик периодически присылает мне сообщения на почту:
"Your site has updated to WordPress версия>. No further action is needed on your part".
Плагины также находятся в состоянии Auto-updates Enabled.
Конечно, это не защитит от уязвимости в плагине или в ядре, для которой ещё нет патча, но основную часть проблем с известными уязвимостями это закрывает.
А может что-то отъехать от обновлений? Может, но тут 2 момента:
1. Если сайт настолько критичный, что прекращение его работы приведет к серьезным последствиям, то может нужно отдельного человека выделить, который будет заниматься проверкой есть ли обновления, их тестированием и установкой?
2. Если вендор выпускает такие обновления, что при установке что-то регулярно отъезжает, может ну его нафиг такого вендора и его продукты?
Про RedCheck с web-интерфейсом и агентное сканирование Windows. Занимался на днях разворачиванием и тестированием RedCheck-а. В принципе всё норм. Единственное, что при установке с Web-интерфейсом и Rest API требуется выполнить довольно много ручных операций:
1. Установка СУБД и создание пользователя
2. Установка Web-сервера IIS
3. Установка Microsoft .NET Framework
4. Установка Microsoft .NET Core
5. Установка серверного компонента
6. Установка консоли управления (пользовательского интерфейса)
7. Включение возможности Windows-авторизации*
8. Включение обработки HTTPS-соединений*
9. Установка службы синхронизации
10. Установка службы сканирования
Кажется, что большую часть операций можно было бы засунуть в один инсталлер. Но понятное дело, что таких доработок делать не будут, т.к. у АЛТЭКС-СОФТа сейчас в первую очередь стоит задача миграции на Linux. В целом, руководство по установке понятное и подробное. Только в одном месте была проблема с ошибкой в PowerShell-скрипте, но надеюсь поправят. Инсталлеры самих компонентов RedCheck удобные, по сути жмёшь "далее-далее". Часть операций (со *) я пропустил, т.к. для теста это не требовалось.
Теперь про агентное сканирование. Это вообще так себе термин, потому что под ним можно понимать разное:
1. Ставишь агент на таргет-хост, агент сам подключается к серверу (облачному или on-prem) и либо сам отдаёт в него какие-то данные для анализа, либо забирает у него какие-то задачки на выполнение и отдаёт результаты. Профит, что вообще не нужно париться учётками и тем доступен ли сейчас таргет-хост в сети для сканирования или нет (в первую очередь ноутбуков касается). Так работает Qualys, Tenable, Defender for Endpoint.
2. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то он делает аутентификацию через этого агента с использованием некоторых внутренних сертификатов. Также профит к том, что не нужно париться доменными учётками и их возможными утечками. Так работает Scan Assistant от Rapid7.
3. Ставишь агент на таргет-хост, агент сам ничего не делает, но когда к нему подключается сервер, то аутентификация проходит через локальную учётку хоста или доменную учётку. В этом случае по сути просто реализуется альтернатива традиционным безагентным транспортам WMI и WinRM.
И вот в RedCheck реализуется именно третий тип агентного сканирования. Позиционируется он так:
"Агент сканирования – компонент RedCheck, предназначенный для сканирования хостов, ограниченных политикой ИБ организации (например, запрет или ограничение использования WMI, WinRM, отсутствие возможности использовать УЗ администратора), а также для обеспечения быстродействия и повышенной надёжности сканирования. Данный компонент работает только по запросу от сервера сканирования в рамках назначенной задачи аудита."
Плюсом тут идёт быстрота, экономия канала и максимальная функциональность проверок. Сканирование идёт от имени Системы. Но для подключения учётка (локальная или доменная) всё равно нужна. Эта учётка может не иметь права администратора на хосте, но она должна быть в группе REDCHECK_ADMINS. То есть риски компрометации такой учётки будут ниже, но было бы удобнее, если бы она вовсе не требовалась. С другой стороны, в таком случае появлялись бы вопросы к процедуре аутентификации сервера на таргет-хосте с агентом, всё-таки порт агента наружу выставлен и это теоретически возможный вектор атаки. Процесс аутентификации по учётке всё-таки проще и прозрачнее. В общем, здесь вопрос спорный. 🙂 Ну и, независимо от способа аутентификации, просканировать с помощью такого "транспортного" агента можно будет только те хосты, до которых мы сможем дотянуться непосредственно во время выполнения задачи сканирования, т.е. основная проблема безагентных сканов остаётся.
Поэтому имейте в виду возможные варианты реализации агентного сканирования на уязвимости и заранее задавайте вопросы VM-вендорам. 😉
Посмотрел карту компетенций специалиста по ИБ от Positive Technologies. Что там с VM-специалистами? Карту презентовали 13 марта, но мне она только сейчас на глаза попалась. К сожалению, по PDF-ке нельзя искать, поэтому приходится смотреть только глазками.
Есть 4 специализации как-то связанные с уязвимостями:
- "Аналитик по оценке уязвимостей (пентенстер)" в группе "Мониторинг событий ИБ и реагирование на события ИБ"
- "Аналитик данных в области эксплуатации уязвимостей информационных систем" в группе "Аналитика ИБ"
- "Аналитик данных об уязвимостях эксплуатируемого ПО (разведка)" в группе "Аналитика ИБ"
- "Аналитик данных об уязвимостях эксплуатируемой сетевой инфраструктуры (разведка)" в группе "Аналитика ИБ"
2 последние специализации можно было бы определить как Vulnerability Intelligence, но обязанности там какие-то совсем загадочные. Что-то на редтимовском видимо. 🙂
В целом, специальность, которая находится в Мониторинге (фактически SOC-овская тема) как основа для специализации VM-щика выглядит норм. Но очень смущает приписка "пентестер". Потому что VM и пентест это вещи из разных вселенных. Пентестеру важно проломить хоть как-нибудь, он весь про реальную эксплуатацию здесь и сейчас. VM-щик работает с неполной информацией и для него наличие эксплоита это один из множества факторов.
Поэтому я бы сделал так:
1. Приписку "пентестер" перенес в специальность "Аналитик данных в области эксплуатации…"
2. Обязанности "Измеряет эффективность многослойной архитектуры защиты" тоже перенес бы в специальность "Аналитик данных в области эксплуатации…". Оценивать эффективность EDR-ов тоже пентестерская тема.
3. "Аналитик по оценке уязвимостей" переименовал бы в "Специалист по управлению уязвимостями". Если есть специалист по реагированию на инциденты, то чего бы не быть специалисту по управлению уязвимостями. 😉
4. Добавил бы этому "Специалисту по управлению уязвимостями" обязанностей по работе с уязвимостями в рамках руководства ФСТЭК: мониторинг известных уязвимостей, оценка применимости, оценка критичности уязвимостей, определения методов и приоритетов устранения, постановка задач на устранение, контроль устранения. Также добавил бы того, что нет в этом руководстве, но что критично: оценка качества детектирования уязвимостей средствами анализа защищенности и оценка покрытия инфраструктуры организации VM-процессом.
5. Обязанности "Выполняет оценку систем и сетей…" дополнил бы фразой "в части процесса управления уязвимостями", а то слишком общо получается и напоминает уже IT-аудит.
И вот в таком виде можно было бы жить. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.