Архив рубрики: Уязвимость

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом. Очень толковое и насыщенное мероприятие. 👍

🔹 Много времени уделили управлению IT-активами как основе для всех доменов практической безопасности, включая комплаенс, защиту инфраструктуры и данных. Для эффективного учёта активов IT и ИБ необходимо действовать сообща и наращивать автоматизацию.

🔹 Говоря о VM-е Кирилл Карпиевич покритиковал цикл Gartner-а и игру IT-шников в докажи-покажи. 🔥 Я оценил. 🙂👍 Он рассказал, как СберTex использует BI.ZONE GRC для поддержания единого реестра активов, собирая в него данные из изолированных ЦОД-ов с помощью MaxPatrol VM, Kaspersky KSC и Сканер-ВС.

🔹 Андрей Шаврин рассказал, что в комплаенсе важно искать пересечение требований, а работы по внедрению начинать с аудита. С помощью BI.ZONE GRC в дочерних компаниях "МУЗ‑ТВ" автоматизировали работу с ПДН.

Сами интерфейсы GRC-системы не показали, надеюсь на live-демо в следующий раз. 😉

Расскажу про свой проект Vulristics на киберфестивале PHDays

Добавить комментарий

Расскажу про свой проект Vulristics на киберфестивале PHDays. CFP на PHDays завершился, все доклады отобрали. 👍

Меня спросили недавно: "Неужели сотрудники Positive Technologies тоже проходят через CFP?!" Да, тоже! 🙂 Квот нет и заявки отбирают по общим для всех правилам. А заявок в этом году было более 800!

❌ Моя основная заявка на доклад "Руководство ФСТЭК по Управлению Уязвимостями в 2025 году и его расширение" не прошла CFP в Defense трек. 😔 Бывает. 🤷‍♂️ Про усиление роли Руководства в работе государственных и финансовых организаций и сочетание его с БОСПУУ я обязательно расскажу в другой раз. 🙂

✅ Зато прошла заявка на доклад "Vulristics - утилита для анализа и приоритизации уязвимостей" в трек OpenSource & OpenSecurity. 🎉 Расскажу, как я 5 лет развиваю этот проект и использую его практически ежедневно. 😎

🎟 Билеты на закрытую часть уже в продаже. Это пожертвование от 1500 р. в один из благотворительных фондов. 👍

25 апреля в Казахстане пройдёт третий AppSecFest

Добавить комментарий

25 апреля в Казахстане пройдёт третий AppSecFest. На мероприятии будет 2 конференц-зоны:

🔹 Sec Zone посвящена безопасности приложений: SAST, DAST, IAST, API, IaC, Cloud Security, Pentesting, Bug Bounty, Vault, WAF, Web 3.0 Security, Secure SDLC, DevSecOps, управление уязвимостями, угрозы, регуляторные требования, атака/защита приложений.

🔹 App Zone посвящена разработке ПО: Mobile, Web, X-Platform, Frontend/Backend, Microservices, Docker/K8s, Big Data, Cloud, Blockchain, AI, ML, Web 3.0, архитектура, DevOps, CI/CD, Agile, UI/UX, качество кода.

🚩 В рамках мероприятия пройдут CTF-соревнования.

➡️ Call For Papers до 1 апреля включительно. Отличная возможность выступить и понетворкиться за пределами РФ. 😉 Ожидается 1000+ участников.

Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Добавить комментарий

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.

Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.

Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.

До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.

❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉

Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.

Выступать будут:

🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.

🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.

🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.

Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂

Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте

Полный CTEM

Добавить комментарий

Полный CTEM. У Дениса Батранкова вышел пост про то, что "VM больше не спасает", но есть продвинутая альтернатива - CTEM. Я своё мнение по поводу CTEM высказал в прошлом году и оно не изменилось: это очередной бессмысленный маркетинговый термин от Gartner. Всё "новое" в CTEM-е давно реализовано в VM-решениях.

Посудите сами:

🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?

Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂

Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉

SOC и VOC на одном уровне?

Добавить комментарий

SOC и VOC на одном уровне? Как по мне, выделение Vulnerability Operation Center на одном уровне организационной структуры с Security Operation Center - неплохая идея.

Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.

В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉

Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏