Архив рубрики: Темы

По поводу предыдущей картинки, вынесу из комментов в ВК

Добавить комментарий

По поводу предыдущей картинки, вынесу из комментов в ВК.

1. В другом качестве картинки нет, стащил из аккаунта Nucleus в соцсеточке, на сайте у них не нашел. 🤷‍♂️ Но это просто статистика по второй колонке из CISA KEV.

2. "Возможно большее количество уязвимостей говорит о большей распространенности и большем числе продуктов вендора. А Linux - здесь наверное только linux kernel?" Да, Linux это только Linux Kernel, а Microsoft это все продукты Microsoft, включая Windows Kernel. Но то, что продукты Microsoft наиболее активно атакуются - факт. Отказ от продуктов Microsoft поднимет защищённость хотя бы по логике "если у вас нет собаки, её не отравит сосед". 🙂

3. "Как эппл и адоб умудрились заслужить столько?" У Adobe основной генератор дырок это PDF reader. Apple macOS, к сожалению, достаточно популярная десктопная ОС, для неё регулярно находят критичные RCE уязвимости. В основном в ядре и WebKit. Средств администрирования и защиты информации для macOS меньше и они не так развиты. Поэтому, имхо, устройства Apple в инфраструктуре это даже большая проблема, чем продукты Microsoft.

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям

1 комментарий

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям

Nucleus Security нарисовали красивую картинку по CISA KEV уязвимостям. Навели статистику по вендорам. К статистике наведенной по всем уязвимостям из NVD я отношусь обычно скептически - непонятно то ли у вендора такие дырявые продукты, то ли вендор наоборот ответственно подходит к уязвимостям в своих продуктах и заводит CVE на каждый чих. Здесь же рассматриваются только уязвимости с признаками эксплуатации в реальных атаках, просто так в CISA KEV не попадают. Поэтому вполне справедливо будет сделать вывод: если у вас инфраструктура на продуктах Microsoft, то уровень риска у вас соответствует этому громадному кружку, а если на Linux, то гораздо меньшему кружку (его так сразу и не заметишь). Выпиливайте у себя Microsoft! Хотя бы стратегически двигайтесь в этом направлении. Тоже касается и других больших кружков: CISCO, Apple, Oracle, Adobe. Google выпилить скорее всего не получится - это вездесущий Chromium. 🙂

Заметил, что проект руководства по управлению уязвимостями, который был публично доступен на сайте ФСТЭК с 31 марта по 17 апреля для сбора отзывов, с сайта убрали

3 комментария

Заметил, что проект руководства по управлению уязвимостями, который был публично доступен на сайте ФСТЭК с 31 марта по 17 апреля для сбора отзывов, с сайта убрали. Видимо теперь уже до доработанного официального релиза. Поэтому ту публичную версию от 31 марта заливаю сюда. Чтобы было понятно к чему относятся мои комментарии про "процесс не для человеков" и "место автоматического детектирования уязвимостей". Кроме того, после официального релиза будет интересно посмотреть, что изменилось по сравнению с проектом.

Об исправлении уязвимостей, шоколаде и мышах

Добавить комментарий

Об исправлении уязвимостей, шоколаде и мышах. У Аллена Карра, который написал книгу про лёгкий способ бросить курить, есть ещё книга про легкий способ похудеть. Одна из идей там в том, что нужно кушать полезную еду, от которой особо не потолстеешь, а от вредной еды, от которой легко потолстеть, лучше отказаться. И для лёгкого отказа от вредной еды Аллен Карр методично полоскает читателю мозг. 😉 Вот, например, про шоколад. 🍫 Если вы любите шоколад и для вас это не проблема, следующие 2 абзаца лучше не читайте.

Манипуляция это? Безусловно. Но негативная ассоциация создаётся. Тяга к шоколаду у меня лично значительно уменьшилась и пищевое поведение скорректировалось в более здоровую сторону. 👍🙂 Но сделано это было через манипуляцию. Этичность метода так себе, но зато есть результат. "Вам шашечки или ехать?" ©

Так вот, про уязвимости. Есть мнение, что IT-шникам для того, чтобы они поддерживали инфраструктуру в безопасном и обновленном состоянии необходимо давать наиболее объективную информацию об уязвимостях. А какая это информация? То, что только 3% всех уязвимостей становятся реально эксплуатабельны и используются в атаках? Что мы в общем случае понятия не имеем, будет ли эксплуатироваться данная конкретная CVE и всё, что у нас есть это рекомендация вендора поставить патч? Такая информация будет способствовать внедрению процесса безусловного регулярного пачинга? Что-то сомнительно. Скорее наоборот будет расслаблять и бодаться по поводу установки обновлений будет сложнее.

С другой стороны, "торговать страхом" и говорить, что раз ты, дорогой админ/девопс, на неделю затянул с патчингом серверов, значит поставил всю инфраструктуру организации под удар, это не совсем этично. Т.к. обычно всё не так жёстко. Живут люди и не патчась, особенно это касается внутрянки. Но иногда те уязвимости, которые считались не особо критичными оказываются полнейшей лютой жестью, как MS17-010 и те, кто хотя бы пару месяцев забивали на обновления оказываются под катастрофическим ударом. И какие именно уязвимости "выстрелят" в следующий раз мы можем только догадываться.

Имхо, формирование здоровых привычек зачастую имеет большую ценность, чем точность и объективность коммуникации. Иногда лучше сознательно сгустить краски, чтобы снизить риски в будущем. "В конце концов, это почти правда!" © Но каждый пусть решает для себя. 😉

Онлайн-конференций по Vulnerability Management от Anti-Malware

4 комментария

Онлайн-конференций по Vulnerability Management от Anti-Malware

Онлайн-конференций по Vulnerability Management от Anti-Malware. Третья неделя мая ожидается горячей. Начнется с ISCRA Talks 15 мая, закончится PHDays 19–20 мая. А посередине, 17 мая, будет онлайн-конфа "Практика эффективного управления уязвимостями 2023". Это главное и по сути единственное мультивендорное мероприятие по Vulnerability Management-у в России. Заходим, регистрируемся. 😉

В этом году в студию меня не позвали. 🤷‍♂️ Может забыли, может намеренно - не знаю, сам не напрашивался. 🙂 Наверное к лучшему. Мероприятие вендорское, а давать место на нем человеку, который будет говорить вещи противоречащие маркетинговым тезисам и всякие неудобные вопросы в программу вставлять это уже почти прожарка получается. 😉 Я бы обязательно добавил вопросы про поддержку методик оценки уровня критичности, тестирования обновлений и VM руководства от ФСТЭК. 🔥😈 Хотя основное я уже высказал на мероприятиях в 2021 и 2022, за что спасибо!

Трансляцию, конечно, посмотрю и мнением поделюсь. 😉

Прочитал пост Бизонов по поводу утечки

Добавить комментарий

Прочитал пост Бизонов по поводу утечки. Познавательно. Есть такой популярный слоган социальной рекламы: "А вы знаете где сейчас ваши дети?" В том смысле, что не оставляйте детей без присмотра, а иначе быть беде. Перефразируя, можно сказать: "А вы знаете где сейчас ваши бекапы с чувствительными данными?" Уж не на внешнем ли ftp-сервере, доступ к которому можно получить через админку хостинг-правайдера. 🙂 Т.е. от слива и скандала отделяет только логин-пароль к этой админке (видимо без второго фактора), который пока непонятно как получили злоумышленники. Да это уже и не так важно, очевидно что с базовым ИБ/IT-процессом, с бэкапами, случилась беда.

Хотя через уязвимость Битрикса было бы интереснее конечно. 😇

Три установки после исхода западных вендоров

Добавить комментарий

Три установки после исхода западных вендоров. Предыдущий пост про судьбу специалиста был, разумеется, и про меня тоже. Мне было вполне комфортно работать с западными VM-решениями и писать об этом в своём бложике. Не могу сказать, что исход западных вендоров меня порадовал. Но, с другой стороны, я не был ультрасфокусированным специалистом по Qualys, Tenable и Microsoft Defender, поэтому какой-то катастрофой для меня это не стало. Но заставило призадуматься. В итоге я сформулировал для себя 3 установки, которые выглядят полезными в сложившихся условиях. Возможно они кому-то ещё придутся по вкусу.

1. Специализироваться не на конкретных технических решениях от конкретных вендоров, а на проблеме в целом. Как можно лучше понимать что именно происходит под капотом решений и как, при необходимости, обходиться без них. В контексте нашей темы - как происходит детект уязвимостей в каждой из систем, какие есть тонкости, что и как можно было бы улучшить. Вендоры приходят и уходят, а проблемы остаются.

2. Фокусироваться на Open Source проектах, в особенности на GNU/Linux. Здесь есть несколько моментов:

2.1. Мы во многом утратили или утратим в ближайшем будущем доступ к проприетарным западным решениям. Но вот доступ к Open Source останется, этого у нас никто не отберёт. Несмотря на попытки ограничить возможности контрибьютить код и вести свои проекты, эффективных механизмов препятствовать этому также нет. Поэтому для российского специалиста активная самореализация в Open Source проектах это логичный путь для приобретения скиллов актуальных в общемировом масштабе.

2.2. Open Source это основа российского импортозамещения. Практически все российские ОС это Linux, отечественных IT/ИБ продуктов без использования открытых библиотек также не бывает. Можно долго спорить на тему оправдано ли называть отечественным то, что в основном разрабатывается где-то в Калифорнии. Имхо, это довольно скверно, но может быть в какой-то степени скомпенсировано вовлечённостью в эти проекты российских специалистов как со стороны разработки, так и со стороны использования. Безусловно история успеха здесь проект PostgreSQL. Если появятся эффективные центры компетенций по ключевым открытым компонентам, то возможно появятся и шансы "перевернуть игру", и уже в США будут переживать по поводу российская влияния на Open Source. А если не появятся, хотя бы несколько снизим свои риски в процессе. 😉

3. Относиться к российским коммерческим решениям с "презумпцией крутости". Если не доказано, что продукт полностью неработоспособен и это явное мошенничество, считать российский продукт крутым. 🙂 Я не согласен с бесконечной критикой российских продуктов, что они стоят дороже и при этом менее функциональны. Вернее да, это так, они действительно часто дороже и менее функциональны. 😅 Но критиковать их за это также бессмысленно как возмущаться тем, что за летом приходит зима. Здесь сошлюсь на уморительный пост Рустэма Хайретдинова про первое свидание и сальто назад на коньках. 😆 Наши вендоры зачастую стартуют с нуля, имея в сотни и тысячи раз меньше ресурсов, чем западные. У них нет возможности демпинговать и работать на перспективу, им нужно выживать и развиваться здесь и сейчас. И при этом они умудряются производить что-то сопоставимое с западными решениями. Это ли не чудо! В целом, считаю, что нам к российским ИБ-вендорам, особенно к стартапам, нужно относиться как в Израиле относятся к своим. Холить, лелеять, гордиться, нахваливать и оказывать всяческое содействие. Ну возможно делать это чуть менее энергично, все же у нас несколько иная стилистика. Но ни в коем случае не хаить их за то, что они не top-notch за копейки.