Второй скриптик это реализация рекомендательного алгоритма НКЦКИ. Сразу наглядно видно какие параметры нужны для принятия решение. Подаешь заполненный дикт на вход, получаешь вердикт стоит обновлять или не стоит, нужно ли повторять проверку через какое-то время или нет, а также шаг алгоритма на котором было принято итоговое решение (для отладки). Можно менять параметры и смотреть как результат меняется. На слайдах я меняю CVSS Base Score c 9 на 6, патчить все ещё надо, т.к. отказ сервиса влияет на бизнес, а СЗИ-шек для митигации не внедрено. Меняю параметр, что у нас есть СЗИ блокирующие эксплуатацию уязвимости и получаю ответ, что патчить не требуется.
Это в первую очередь мне нужно для демонстрации того какие теперь требуются дополнительные входные данные для VM процесса. Но в принципе можно и в реальных системах использовать.
В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями.
Есть следующая дилема. С одной стороны создание таких обзоров требует свободного времени, которое можно было бы потратить на что-то более полезное. Например на работу над своими опенсурсными проектами или ресерчами. Действительно, если ты заинтересовался в какой-то теме, сконцентрируйся на ней и сделай эпизод только об этом. С другой стороны, есть аргументы и за новостные обзоры. Отслеживание новостей это часть нашей работы как специалистов по уязвимостям и по безопасности вообще. И желательно не только заголовков. Я обычно отслеживаю новости используя мой автоматически наполняемый канал @avleonovnews. И выглядит это так: я вижу что-то интересное в канале, копирую это в Saved Messages, чтобы потом почитать. Читаю ли я это? Ну обычно нет. Поэтому создание новостных обзоров мотивирует разбирать Saved Messages и прочитывать новостные посты. Также как создание обзоров Microsoft Patch Tuesday мотивирует меня смотреть что там происходит. В общем, кажется есть смысл сделать новый заход. Поделитесь в комментариях что вы об этом думаете. Ну и если вы хотите поучаствовать в отборе и обсуждении новостей, я тоже буду рад.
Я взял 10 новостей из Saved Messages и разделил их на 5 категорий: 1) Активные Уязвимости 2) Источники данных 3) Аналитика 4) VM вендоры пишут про Vulnerability Management 5) Девестернизация IT
01:31 🔴 “CISA warns of hackers exploiting PwnKit Linux vulnerability (CVE-2021-4034)” by BleepingComputer // Не только американцам это нужно быстро патчить. 03:14 🔴 “Atlassian Confluence OGNL Injection Remote Code Execution (RCE) Vulnerability (CVE-2022-26134)” by Qualys // В статье Qualys приводят описание OGNL Injection, RCE Payload, Exploit POC, Exploit Analysis и Source Code Analysis. Это подробная техническая статья. Если вам интересно как такие уязвимости эксплуатируются и детектируются, посмотрите этот пост.
Data sources
05:27 🟠 “New Vulnerability Database Catalogs Cloud Security Issues” by DarkReading & Wiz // Непонятно насколько действительно нужна отдельная база данных. Кажется это все можно было бы оформить как CVEs. Тем более, что у многих уязвимостях в этой базе уже есть CVE IDs. Но инициатива хорошая. Лишний раз доказывает, что у MITRE и NVD есть проблемы.
Analytics
07:23 🟢 “MITRE shares this year’s list of most dangerous software bugs (CWE Top 25)” by BleepingComputer // Похоже на правду, хотя 'OS Command Injection' кажется должно быть выше. Ну и надо понимать, что CWE идентификаторы присваюваются уязвимости вручную и поэтому тут могут быть ошибки классификации. Но все равно любопытно. 09:06 🟠 “Cyberattacks via Unpatched Systems Cost Orgs More Than Phishing” by DarkReading & Tetra Defense // Хорошее замечание в статье: "Data on successful compromises can help companies determine the most critical attack vectors to address, but it should be noted that the conclusions depend greatly on the specific incident-response firm". Но то, что MFA и патчинг это важно - не поспоришь. 11:07 🔴 “Zero-Days Aren’t Going Away Anytime Soon & What Leaders Need to Know” by DarkReading & Arctic Wolf // Ну, в целом не попоришь. Моё мнение - пока критичные известные уязвимости на исправляются оперативно, думать о Zero-Days преждевременно. А так, это конечно в первую очередь задача SOC.
VM vendors write about Vulnerability Management
13:57 🟡 “Why We’re Getting Vulnerability Management Wrong” by DarkReading & Rezilion // Это давнишний спор: стоит ли исправлять уязвимости в софте, который в настоящий момент не запущен? Ну и обычно на это отвечают да. Потому что никто не может гарантировать, что софт вдруг не начнет запускаться. Но если будет возможность выделить среди критичных уязвимостей уязвимости, в софте, который уже запущен или регулярно запускается, то это хороший испточник данных для дополнительной приоритизации. Почему бы и нет. Хорошо, что Rezilion это подсвечивают. 16:41 🔴 “Risk-based Remediation Powered by Patch Management in Qualys VMDR 2.0” by Qualys // На самом деле давно было интересно что же нового в Qualys Vulnerability Management, Detection and Response. В целом, это похоже на Tenable vulnerability priority rating (VPR). Наверное и формируется примерно так же. Но про техническое подробности TruRisk надо будет искать где-то в другом месте. Я согласен с тем, что фокус VM должен быть именно на Remediation и хорошо, что Qualys продвигают эту тему. Достаточен ли объем новых фич, чтобы называть это VMDR 2.0? Пока это не кажется так. Кажется, что если бы Remediation был полностью автоматизирован для 100% хостов (что требует принципиально другого подхода к тестированию работоспособности после патча), то тогда это было бы 2.0. Но маркетологам Qualys виднее. 20:37 🟢 “Modern IT Security Teams’ Inevitable Need for Advanced Vulnerability Management” by Threatpost & Secpod // Дается список проблем и для преодаления этих проблем нужен Advanced Vulnerability Management от Secpod. В целом, список справедливый и то, что они обращают внимание на vulnerabilities beyond CVEs кажется мне очень правильным. 22:25 de-Westernization of IT см.выше https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
