Архив рубрики: Уязвимость

25 апреля в Казахстане пройдёт третий AppSecFest

25 апреля в Казахстане пройдёт третий AppSecFest

25 апреля в Казахстане пройдёт третий AppSecFest. На мероприятии будет 2 конференц-зоны:

🔹 Sec Zone посвящена безопасности приложений: SAST, DAST, IAST, API, IaC, Cloud Security, Pentesting, Bug Bounty, Vault, WAF, Web 3.0 Security, Secure SDLC, DevSecOps, управление уязвимостями, угрозы, регуляторные требования, атака/защита приложений.

🔹 App Zone посвящена разработке ПО: Mobile, Web, X-Platform, Frontend/Backend, Microservices, Docker/K8s, Big Data, Cloud, Blockchain, AI, ML, Web 3.0, архитектура, DevOps, CI/CD, Agile, UI/UX, качество кода.

🚩 В рамках мероприятия пройдут CTF-соревнования.

➡️ Call For Papers до 1 апреля включительно. Отличная возможность выступить и понетворкиться за пределами РФ. 😉 Ожидается 1000+ участников.

Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.

Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.

Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.

До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.

❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉

Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.

Выступать будут:

🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.

🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.

🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.

Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂

Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте

Полный CTEM

Полный CTEM

Полный CTEM. У Дениса Батранкова вышел пост про то, что "VM больше не спасает", но есть продвинутая альтернатива - CTEM. Я своё мнение по поводу CTEM высказал в прошлом году и оно не изменилось: это очередной бессмысленный маркетинговый термин от Gartner. Всё "новое" в CTEM-е давно реализовано в VM-решениях.

Посудите сами:

🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?

Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂

Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉

SOC и VOC на одном уровне?

SOC и VOC на одном уровне?

SOC и VOC на одном уровне? Как по мне, выделение Vulnerability Operation Center на одном уровне организационной структуры с Security Operation Center - неплохая идея.

Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.

В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉

Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏

Что за зверь "Vulnerability Operation Center"?

Что за зверь Vulnerability Operation Center?

Что за зверь "Vulnerability Operation Center"? VOC - не самый распространённый термин, но на западе встречается. Одни компании (небольшие вендоры, такие как Hackuity, Patrowl, YOGOSHA) определяют его как платформу или утилиту для управления уязвимостями, которая имеет преимущества перед "традиционными VM-решениями". Другие (сервис-провайдеры, такие как Orange Cyberdefense и Davidson), определяют VOC как структурные подразделения организаций.

Между VOC и VM примерно такая же смысловая неразбериха, как была межу SOC и SIEM. 🙂 И я склонен разрешать её аналогичным образом. VOС - структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для детектирования, приоритизации и устранения уязвимостей (с одним решением удобнее 🙂). VM-процесс может быть выстроен, например, в соответствии с "Руководством по организации процесса управления уязвимостями в органе (организации)" ФСТЭК и расширен с учётом БОСПУУ. 😉

О сертификации VM-продуктов по качеству детектирования

О сертификации VM-продуктов по качеству детектирования

О сертификации VM-продуктов по качеству детектирования. Моё мнение - такая сертификация должна быть. Добровольная или обязательная, государственная или негосударственная. Но хоть какая-то должна быть. Это ненормально, когда вендор может начать продавать буквально любой треш, а задача оценки качества детектирования уязвимостей (равно как и ответственность в случае инцидента) целиком ложится на клиента. 🤷‍♂️ Рыночек тут не порешает.

Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.

И тут встают очень интересные вопросы:

🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?

🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?

🔹 Как будут решаться спорные вопросы?

Если с этим определиться, то создание автоматических тестов становится делом техники.