Архив рубрики: Темы

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (2/2)

1 комментарий

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (2/2)

📌 Digital risk protection service (DRPS).

"Gartner defines DRPS as “a combination of technology and services in order to protect critical digital assets and data from external threats. These solutions provide visibility into the open (surface) web, social media, dark web, and deep web sources to identify potential threats to critical assets and provide contextual information on threat actors, their tools, tactics, and processes for conducting malicious activity.”

Сейчас фактически это дополнительная функциональность Средств Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Continuous Threat Exposure Management (CTEM)

"Gartner defines CTEM as a set of processes and capabilities that enable enterprises to continually evaluate the accessibility, exposure and exploitability of their digital and physical assets.

In short, CTEM is the center that informs governance, risk and compliance (GRC) mandates. Using CTEM, you can build mature, strategic security controls with detection and response capabilities that are always aligned with the business’s risk appetite."

Честно говоря, это "exposure" меня люто бесит. Более размытого и бессмысленного термина в мире ИБ найти сложно. Когда начинают затирать про "cyber exposure" или "threat exposure", я расцениваю это как 100% признак, что вендору нечего показать и остаётся только прятаться под завесой неконкретных слов и концепций. К "Tenable - The Exposure Management Company" это также относится. Но это тема для отдельного поста. Здесь же можно сказать, что любой способ анализа уязвимостей и инфраструктуры, который они смогут придумать, вполне ляжет в Средства Анализа Уязвимостей (САУ).

В общем, при желании все эти Gartner-овские придумки можно вполне успешно по моим группам VM-продуктов разложить. Не понимаю зачем Gartner заводит по аббревиатуре чуть ли не на каждую высокоуровневую фичу. Ну если не брать вариант, что они так каждому более-менее крупному вендору-спонсору могут выдать по отдельному сегменту и нарисовать его там стопроцентным уникальным лидером. 🙂

Часть 1

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows

Добавить комментарий

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows

Публичный эксплоит для EoP уязвимости корпоративного VPN клиента Cisco AnyConnect (новое название - Cisco Secure Client Software) под Windows. Речь об уязвимости CVE-2023-20178. Патчи вышли 7 июня. 18 июня исследователь Filip Dragović выложил PoC эксплоита "удаление произвольного файла". Вполне вероятно, что докрутят до чего-то более интересного, чем простое удаление файлов. Если у вас в организации всё ещё используется AnyConnect - потыкайте палочкой ответственных за обновление (и за импортозамещение, по случаю, тоже 😉).

А вот и обещанный подкаст с моим участием

Добавить комментарий

А вот и обещанный подкаст с моим участием. 🙂

---

"▶️ Новый подкаст уже доступен в YouTube

👀 Переходите по ссылке, смотрите и оставляйте свои комментарии. Нам очень важно ваше мнение.

🗣 Гостем выпуска стал Александр Леонов, автор телеграм-канала «Управление уязвимостями и прочее». Эксперт рассказал об особенности VM в России. Как на процесс управления уязвимостями повлияли исход иностранных вендоров, тренд на импортозамещение и нововведения регуляторов."

Как я тестил VulnsIO on-prem

1 комментарий

Как я тестил VulnsIO on-prem

Как я тестил VulnsIO on-prem. Установка простая. Нужна Linux-овая виртуалка, на неё ставим docker и docker-compose. Затем скачиваем с официального сайта консольную утилиту vio-installer. Отвечаем на вопросы в текстовом интерфейсе и через минут 5 получаем развернутое VM-решение с web-интерфейсом. 👍

Из подводных камней можно отметить то, что инсталлеру нужен доступ не только до vulns.io, но и до некоторых других внешних registry для скачивания образов. Не все требуемые доступы сейчас описаны в руководстве. Пришлось несколько раз запускать инсталлер и дозаказывать доступы от виртуалки наружу. Также были проблемы со скачиванием некоторых образов. Видимо проблемы были на стороне окружения, всё решилось ограничением количества одновременных потоков на уровне docker-демона:

/etc/docker/daemon.json

{
  "max-concurrent-downloads" : 1
}

Но это всё мелочи.

Помимо безагентного сканирования, VulnsIO поддерживает также честное агентное сканирование. Т.е. на таргет-хосты можно поставить агенты, которые будут сами подключаться к on-prem серверу VulnsIO по 443 порту и периодически скидывать туда данные для расчета уязвимостей (можно и принудительно обновить данные через задачу на аудит). Подход +- как у Qualys с легковесными агентами. Агенты обновляются сами. Аутентификации агента на доменные учётки не завязана. В общем, тут всё удобно и работает так, как ожидается.

При сравнении со ScanOVAL для тестового Windows Server хоста и тот, и другой надетектировал около 2000 CVE. При этом пересечение получилось 68%. Есть по ~ 300-400 CVE, которые детектируются одним из средств, а другим нет. 🤷‍♂️ С чем связаны расхождения это вполне себе повод для дальнейшего ресерча и общения с вендором, но то, что совпадает сильно больше половины, это уже неплохо. 😉

Выпустил эпизод про июньский Microsoft Patch Tuesday

1 комментарий

Выпустил эпизод про июньский Microsoft Patch Tuesday. В целом, совпало с первыми впечатлениями, но добавил спуфинг в OneNote и подсветил уязвимости с "Proof-of-Concept Exploit" в CVSS Temporal. Ну и добавил деталей, как обычно.

———

Hello everyone! This episode will be about Microsoft Patch Tuesday for June 2023, including vulnerabilities that were added between May and June Patch Tuesdays. This time there were only 3 vulnerabilities used in attacks or with a public exploit. And only one of them is more or less relevant.

TOP of the Vulristics report
00:38 Memory Corruption – Microsoft Edge (CVE-2023-3079)
01:12 Remote Code Execution – GitHub (CVE-2023-29007)
01:40 Spoofing – Microsoft OneNote (CVE-2023-33140)

02:01 10 vulnerabilities CVSS Temporal Metrics "Proof-of-Concept Exploit"

No exploits or signs of exploitation in the wild
03:10 Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-29363, CVE-2023-32014, CVE-2023-32015)
04:02 Remote Code Execution – Microsoft Exchange (CVE-2023-32031, CVE-2023-28310)
05:27 Elevation of Privilege – Microsoft SharePoint (CVE-2023-29357)

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
🗒 Vulristics report

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция

Добавить комментарий

Apple выпустили обновления для исправления уязвимостей, эксплуатирующихся в операции Триангуляция.

CVE-2023-32434 - "An app may be able to execute arbitrary code with kernel privilege"

CVE-2023-32435 - WebKit "Processing web content may lead to arbitrary code execution"

Исправления пришли в версиях iOS/iPadOS 16.5.1 и 15.7.7.

Получается 20 дней потребовалось на выпуск фикса. Можно констатировать, что какого-то нового закручивания гаек в отношение устройств Apple за эти 20 дней также не произошло.

Я за это время имел несколько бесед с безопасниками из разных компаний, которые используют устройства Apple (основной вопрос к устройствам на macOS). Поразительное дело. Все согласны с тем, что устройства Apple это "идеальное убежище для шпионских программ" и обеспечивать безопасность таких устройств куда сложнее, чем устройств под Linux и Windows. В том числе и в плане Vulnerability Management-а. Но как только дело доходит до "готов ли ты лично отказаться от устройств Apple? (хотя бы корпоративных)" ответ один "нет, ты что, я привык, они такие классные и удобные". 🤷‍♂️ Если с безопасниками такая история, то что уж говорить о простых обывателях. Пока не будет каких-то прямых запретительных мер, из корпоративных инфраструктур устройства Apple никуда не денутся. А физики от них не откажутся вообще никогда. Даже если Apple начнет эти устройства брикать, всё равно всеми правдами и неправдами будут стараться продолжить пользоваться. В удивительную зависимость люди попадают.

По итогам выступления на Positive Customer Day

Добавить комментарий

По итогам выступления на Positive Customer Day. Всё прошло вполне удачно. Спасибо большое коллегам из Positive Technologies за приглашение! Кажется это был мой первый доклад на "бумажную" тему. Хоть я, в основном, делал акценты на технические сложности при реализации методик, но всё равно. Оказалось, что у "бумажных" докладов своя специфика. Были вопросы в духе: почему регулятор написал документ так, а не иначе? Почему он что-то учёл, а что-то решил не учитывать? Зачем регулятор вообще выпустил тот или иной документ? Раньше я с таким не сталкивался и даже впал в лёгкий ступор. Можно, конечно, что-то фантазировать на эту тему, но такие вопросы явно не по адресу. 😅

В целом же, по итогам Q&A для себя сформулировал следующее:

1. В методику оценки критичности уязвимостей неплохо было бы добавить учёт использования уязвимости в реальных атаках (аналог CISA KEV) и вероятности появления эксплоита для неё (аналог EPSS)
2. В руководство по построению процесса управления уязвимостями было бы неплохо добавить:
2.1. Требования к актуальности данных об обнаруженных уязвимостях, например максимально допустимую периодичность сканирования. Не должно быть возможности сканировать раз в квартал и делать какие-то выводы на основе этого.
2.2. Требования к полноте покрытия активов. Не должно быть активов (хостов, софтов, сетевых устройств и т.д.), которые не покрываются средствами детектирования уязвимостей. Должен быть какой-то процесс подтверждения, что VM-решение умеет детектировать уязвимости для всех активов в организации. Если есть какой-то актив, для которого автоматическое детектирование уязвимостей не производится, нужно с этим что-то делать. Как минимум подсветить.
2.3. Требования к оценке качества детектирования уязвимостей. Ситуация, когда несколько средств детектирования анализируют один и тот же актив и выдают совершенно разные наборы уязвимостей ненормальная. Если так происходит, значит в каких-то решениях реализована неправильная логика и такие решения нельзя использовать в процессе управления уязвимостями ("мусор на входе - мусор на выходе"). Следует ли из этого, что должен быть процесс сертификации средств детектирования уязвимостей, такой как для PCI ASV или SCAP сканеров? Возможно.

Ещё в выступлении я, среди прочего, позволил себе предположить, что подход Positive Technologies к VM-у (который я лично всячески поддерживаю), предполагающий процесс регулярного безусловного патчинга инфраструктуры не особенно сочетается с руководством ФСТЭК по построению процесса управления уязвимостями, т.к. это руководство требует тестирования обновлений для open-source и нероссийского софта по методике ФСТЭК перед установкой. Т.е. процесс регулярного безусловного патчинга может и быть, но кажется момент с тестированием обновлений должен быть определен: тестируем/не тестируем, если тестируем, то чьими силами и в каком объёме.