Архив рубрики: Уязвимость

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса

Посмотрел вебинар Securitm по выстраиванию вендоро-независимого Vulnerability Management процесса. В описании вебинара было, конечно, некоторое лукавство. Вкусные дискуссионный вопросы были скорее для заманухи. 😏

Фокус был на возможностях платформы Securitm. Что, в общем, тоже неплохо. Платформа интересная, функциональная. Мне больше всего нравятся их возможности по иерархическому описанию активов в инфраструктуре и заполнение описания с помощью email-опросников. 👍

Понравилась отсылка к нашему опросу по состоянию VM-процесса в организациях (25% - никакое 😱).

Традиционно НЕ понравилось описание VM-процесса через неработающий PDCA Gartner-а (я за непрерывные "подпроцессы", а не "шаги") и тезис, что какие-то уязвимости можно не исправлять (имхо, фиксить в соответствии с приоритетами нужно всё). 👎🤷‍♂️

По поводу конкретных сканеров уязвимостей и их количества ответ был в духе "все по уровню зрелости, деньги есть - берите побольше и подороже, а нету - и на NMAPе можно VM построить". 😏😅

Global Digital Space выпустили эпизод подкаста про сканеры уязвимостей с моим участием

Global Digital Space выпустили эпизод подкаста про сканеры уязвимостей с моим участием. Видео доступно на VK Видео, RUTUBE, YouTube и Дзен. Записывали 14 ноября. Пост в канале GDS.

Я отсмотрел и сделал таймстемпы. 🙂

00:00 Представляемся
01:53 Откуда пошли сканеры уязвимостей?
Владимир, Лука и Кирилл разгоняют, что всё пошло с оффенсива (даже с хакерских форумов). Я возражаю, что может для сканеров неизвестных уязвимостей (условные DAST) это и справедливо, но сканеры известных (CVE) уязвимостей выросли из инициатив по их описанию (NVD и баз, которые были до неё) и из задач дефенса. 🙂🛡
10:43 Сканер как средство инвентаризации инфраструктуры, внезапный соскок на NGFW и холивар на тему является ли nmap сканером уязвимостей
14:34 Коммерческие сканеры уязвимостей в России и за рубежом, размежевание по фидам правил детектирования уязвимостей и о том, кто эти фиды готовит в России и на Западе
20:21 Про варез, Burp и OWASP ZAP
21:12 Нужно ли продолжать использовать западные сканеры и фиды по уязвимостям?
26:14 Правда, что всю РФ поломали?
28:27 Использовать западные сканеры для периметра (EASM) норм или нет?
32:12 Настоящее сканирование это только Black Box, а сканирование с аутентификацией ненастоящее? О когнитивном пентестерском искажении 😏
41:37 А существует ли периметр?
43:27 Для чего мы делаем VM-сканирование с аутентификацией и о важности контекста продетектированных уязвимостей (трендовость, эксплуатабельность, воркэраунды, импакт)
49:55 Про приоритизацию уязвимостей, трендовость и эксплуатабельность
54:13 Экспертиза ресёрчерская и экспертиза детектирования уязвимостей это одно и то же?
56:00 Должен ли сканер детектировать 0day уязвимости?
56:40 Что есть False Positive ошибка сканера уязвимостей?
1:04:48 В чём задача сканера уязвимостей? Оффенсеровский и дефенсеровский подход, детектирование ВСЕХ уязвимостей это "заливание заказчика" или БАЗА?
Это самая жаркая часть дискуссии 🙂🔥
1:21:16 Почему множатся EASMы?
1:28:44 Как выбирать VM и Asset Management решения?
1:36:00 Куда мы идём?

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX

В следующую среду (11.12) подвожу итоги VM-ного года на VK Security Сonfab MAX. 😇 Выписал доклады про уязвимости:

Трек #1
12:10 Александр Леонов - Vulnerability Management в 2024: кризис NVD, трендовые уязвимости года и как их исправлять ⚡️😉
12:50 Николай Панченко - Почему харденинг в K8s важен и как он спасает от «реальных» уязвимостей
13:30 Павел Пархомец - Через тернии к IaC: наша эволюция сканирования распределенной инфраструктуры

Трек #2
13:20 Анатолий Иванов - Несколько уязвимостей, которые найдет каждый. И одну - не только лишь все (этично)
15:00 Петр Уваров - На пути к Bug Bounty 2.0
15:30 Юрий Ряднина - Как хакеры ломают социальные сети
15:55 Максим Казенков - Открытые порты - открытые угрозы: как их вовремя обнаружить
16:25 Всеволод Кокорин - MXSS: Как обманывать парсеры html
17:45 Илья Сидельников, Александр Мельников - Поиск и приоритизация уязвимостей в зависимостях

➡️ Регистрация ещё открыта

Трансляция будет!

Подробности на @VK_Security

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451)

Про уязвимость Spoofing - Windows NTLM (CVE-2024-43451). Уязвимость из ноябрьского Microsoft Patch Tuesday. Для неё сразу были признаки эксплуатации вживую. Уязвимость связана с устаревшей MSHTML платформой, которая до сих пор используется в Windows. Для эксплуатации уязвимости пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щёлкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает NTLMv2 хэш пользователя, который может использовать для аутентификации.

👾 По данным компании ClearSky, уязвимость используется для распространения Spark RAT - трояна удаленного доступа с открытым исходным кодом.

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040)

Про уязвимость Spoofing - Microsoft Exchange (CVE-2024-49040). Уязвимость из ноябрьского Microsoft Patch Tuesday. Некорректно сформулированная политика обработки хедера P2 FROM позволяет злоумышленнику сделать так, чтобы его email-адрес выглядел легитимным для жертвы (например, как адрес коллеги по работе). Что, естественно, значительно повышает эффективность фишинговых атак. 😏🪝 Уязвимости подвержены Exchange Server 2019 и Exchange Server 2016.

Первоначальные исправления для этой уязвимости, опубликованные 12 ноября, были через 2 дня отозваны. Их установка приводила к сбоям. Новые исправления были опубликованы Microsoft только 27 ноября.

👾 Kaspersky уже наблюдали попытки эксплуатации этой уязвимости. Об этом они написали в блогпосте от 26 ноября.

Отмодерировал сегодня секцию "Анализ защищённости и расследование инцидентов" на Код ИБ Итоги 2024

Отмодерировал сегодня секцию Анализ защищённости и расследование инцидентов на Код ИБ Итоги 2024

Отмодерировал сегодня секцию "Анализ защищённости и расследование инцидентов" на Код ИБ Итоги 2024. И выступил там же. 🙂 Осознал, что модерировать секцию гораздо сложнее, чем выступать в ней. Особенно, когда там не только общение по заготовленному списку вопросов, но и доклады. Когда просто участвуешь в секции с докладом, то выступил и сидишь-кайфуешь, изредка задавая вопросы и отвечая на них. А модератор до конца секции в напряжении. 😬 Нужно и дискуссию направлять, и аудитории давать высказаться, и следить за временем, чтобы его на все выступления хватило. ⌚️🤹 Большое спасибо организаторам, что заранее порезали время на слоты, а участникам за пунктуальность! 👍 По времени вписались идеально. 😇

🔹 В своём докладе я сделал экспресс-обзор текущего списка трендовых уязвимостей 2024 года. Скоро будет расширенная версия. 😉
🔹 Основной факт секции: 47% инцидентов ИБ связаны с необновлёнными активами.
🔹 Большой отклик получили темы про атаки через подрядчиков и инсайдеров. 🙂

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте? Я думаю так:

🔻 Eсли есть простой способ отдавать такую информацию в IT, то нужно это делать. Например, если такие рекомендации выдаёт сканер уязвимостей.

🔻 Если же это требует трудоёмкого ресёрча, то заниматься этим не следует. Иначе это превратится в очередное "докажи-покажи". И вместо построения VM-процесса для повышения безопасности всей организации вы будете выяснять какая уязвимость какой KB-шкой закрывается. Такое себе. 😏

Важно не забывать, что если уязвимость детектируется на хосте, то это уже косяк IT. В идеале всё должно фикситься в рамках процесса безусловного регулярного патчинга. А сканы на уязвимости должны лишь подтверждать, что всё действительно регулярно обновляется. 🟢👍 Если IT внедрять такой процесс не готовы, то пусть возятся с исправлением конкретных продетектированных уязвимостей, включая поиск нужных патчей. 😉