Коллеги из Код ИБ отметили меня в номинации "Лучший Спикер Года" на Котуснике. Очень приятненько. 😇 Большое спасибо! Всех поздравил, рассказал про запомнившиеся кейсы года, пожелал своевременно устранять критичные уязвимости в наступающем году (а критичные уязвимости будут обязательно). 😉
Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁
📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Содержание:
🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж
Декабрьский Linux Patch Wednesday. Всего 316 уязвимостей. По сравнению с ноябрьским - по-божески. 🙂 Из них 119 в Linux Kernel.
Две уязвимости с признаками эксплуатации вживую. Обе в Safari:
🔻 RCE - Safari (CVE-2024-44308)
🔻 XSS - Safari (CVE-2024-44309)
В Linux дистрибутивах эти уязвимости исправляют не в Safari, а в пакетах опенсурсного браузерного движка WebKit.
Для 19 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Можно выделить следующие:
🔸 RCE - Moodle (CVE-2024-43425). Исправлена в августе, но первый фикс в репозитории Linux-вендора появился 2024-11-21 (RedOS)
🔸 Command Injection - Grafana (CVE-2024-9264)
🔸 Command Injection - virtualenv (CVE-2024-53899)
🔸 SQLi - Zabbix (CVE-2024-42327)
🔸 Data Leakage - Apache Tomcat (CVE-2024-52317)
🗒 Отчёт Vulristics по декабрьскому Linux Patch Wednesday
🎉🆕 Зарелизил Vulristics 1.0.9 с улучшенным детектированием уязвимого софта по описанию CVE.
Вчера выступал на итоговой пресс-конференции Positive Technologies за 2024 год. В зале боксёрского клуба The Corner собралось 40 журналистов. Кроме того, была трансляция для журналистов из регионов. С короткими докладами выступали 20 спикеров от Positive Technologies: директора и руководители направлений. Кажется среди всех рядовым экспертом был только я один. 😅 Благодарен коллегам за оказанное доверие! Уровень ощутил! 👍
Я рассказывал про трендовые уязвимости года. Примерно как на конфе VK, только очень сжато, буквально за 5 минут. Всё прошло вполне успешно. 🙂
На этом публичные выступления в этом году завершаю. 🎉😌
Про Tenable Patch Management. Это новое решение, анонсированное 4 декабря, результат стратегического партнёрства Tenable с endpoint management вендором Adaptiva.
Решение доступно как аддон для Tenable One, Tenable Vulnerability Management, Tenable Security Center и Tenable Enclave Security. Лицензируется по активам.
Умеют:
🔹 Автоматическую корреляцию между уязвимостями и патчами
🔹 Автоматический патчинг с настройкой стратегий обновления и процесса апрува; есть возможность управлять обновлениями в реальном времения, включая глобальную приостановку, отмену и откат патчей
🔹 Автоматическую валидацию патчинга
Сейчас Tenable PM поддерживает Windows, более 1700 сторонних приложений, драйвера и BIOS. Поддержку Mac и Linux обещают в Q1 2025 года. Тестированием и упаковкой патчей занимается Adaptiva.
Похоже, что хоть и неспешно, и очень разными путями, но VM-вендоры всерьёз идут к автоматизации непосредственного устранения уязвимостей. Сначала Qualys, теперь Tenable.
Внезапно попал в одну папку с крупными каналами IT-юристов и специалистов по защите персданных. 😅 Вот станешь VM-щиком и везде будешь своим. И среди ресёрчеров, и среди корпоративных ИБшников, и вот даже среди юристов и мастеров бюрократической защиты информации. 😉
Если серьёзно, то я не уверен, что IT-юристам так уж важно знать про технические уязвимости. Но вот VM-щикам быть в курсе изменений законодательства и правоприменительной практики весьма полезно:
🔹 Дополнительная аргументация зачем IT и бизнесу нужно устранять уязвимости ("контора разорится на штрафах, а некоторые дофига хитрые товарищи может и присядут" 😏)
🔹 Пища для размышлений о том, как соотносится текущий VM-процесс в организации с требованиями регуляторов и законодательства (т.е. "как мне не оказаться крайним, если контору подломят через неисправленную уязвимость" 🤔)
➡️ Так что добавляем папочку, подбираем толковые каналы по законам и нормативке. Коллегам тоже скидываем. 😉
Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.
В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?
00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day
🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024
Понравился доклад? 🗳 Проголосуй за него! 😉
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.