Посмотрел подкаст двух Александров Герасимовых про Vulnerability Management. Больше контента по VM-у хорошего и разного! 👍 Сгруппировал для себя некоторые тезисы в части VM-а для инфраструктуры. По VM для приложений там тоже было, но мне это не так близко и я отметил, только то, что необходимо интегрировать SAST/DAST/SCA в процессы разработки и деплоя. И чтобы были security approver-ы. Не поспоришь.
По инфраструктуре:
1. Пока не выстроены базовые процессы, такие как инвентаризация активов, сегментация сети, patch management (регулярные обновления), заниматься Vulnerability Management-ом рановато. Нужно понимать какие есть активы, кто эти активы сопровождает, что эти активы из себя представляют (на уровне операционной системы и на уровне ПО), какие активы являются для организации критичными (Mission Critical, Business Critical, Office Productivity). В зависимости от этого настроить риски, недопустимые события, SLA по исправлению для типов активов и критичности уязвимостей, модель угроз ИБ.
2. Сканирования инфраструктуры недостаточно для VM-процесса. Безопасники должны выступать контролерами над уязвимостями: реагировать на критичные 0day уязвимости, отслеживать выполнение циклов регулярно патчинга со стороны IT. У актива должен быть функциональный администратор, бизнес-владелец и технический администратор. Накатывает патч технический администратор, через него идёт взаимодействие и он ответственен за патчинг. ИБ выступает как контроль и руками ничего не делает. Перед установкой патчи должны тестироваться, чтобы работа не нарушалась. При невозможности обновления используем компенсирующие меры (в т.ч. виртуальный патчинг).
3. VM на основе open source, какие могут быть проблемы? Сканеры имеют ограниченную пропускную способность, необходимо масштабировать сканеры и опредялять скоуп серверов, которые можно покрыть одним решением. Должен быть единый центр управления для разбора отчётов. Нужно понимать какие активы есть в организации и есть ли у нас средства детектирования под все типы активов (например, Oracle, российские ОС или сетевые устройства). От меня: основная часть VM-а это средства детектирования уязвимостей. Если вы уверены, что можете покрыть всю инфраструктуру адекватными детектами уязвимостей с помощью бесплатного средства - замечательно. Но постарайтесь это проверить, скорее всего обнаружите активы для анализа которых вам понадобится коммерческое решение.
4. Важно, чтобы VM-продукты имели возможности по интеграции. Для снижения риска утечек паролей из VM-решения, лучше организовывать доступ к кредам для безагентного сканирования через системы а-ля CyberArk. Для отслеживания выполнения заявок на исправление уязвимостей можно использовать интеграцию с SOAR и IRP системами.
Awillix делают периметровый сервис Continuous vulnerability monitoring (CVM), считают это очень востребованной темой. От меня: периметровые сервисы это очень конкурентная область. Со стороны клиента важно оценивать качество детектирования, хоть делать это, как правило, непросто.
Выпустил новую англоязычную видяшечку. Так получилось, что за последний год мой англоязычный блог (а вместе с ним и ютюб канал, и подкаст) окончательно свёлся к ежемесячным обзорам Microsoft Patch Tuesday. 🤷♂️🤦♂️ А остальной контент оседал только в моих телеграмм-каналах @avleonovcom и @avleonovrus. В основном, конечно, в русскоязычном. Постараюсь эту тенденцию переломить. Теперь буду выпускать один англоязычный эпизод по итогам месяца без особого фокуса на Patch Tuesday. Так должно быть поадекватнее и повеселее. 🙂
Подумывал делать эпизоды и на русском тоже, но решил не браться, т.к. получается двойная работа. Автоматический перевод яндекс-браузером могу порекомендовать только для смеха (например, отдельностоящее "CVЕ" распознает как "CV" и переводит как "резюме"). Но планирую тащить новости из канала на обсуждение в Прожектор по ИБ. Так что русскоязычные видяшки тоже в каком-то виде будут. 🙂 ___
Hello everyone! This month I decided NOT to make an episode completely dedicated to Microsoft Patch Tuesday. Instead, this episode will be an answer to the question of how my Vulnerability Management month went. A retrospection of some kind.
GitHub exploits and Vulristics 00:44 PoC in Github 02:19 Vulristics vulners-use-github-exploits-flag
VM vendors updates 04:39 Qualys First-Party Application Risk Detection and Remediation 06:18 Tenable ExposureAI 07:23 SC Awards and Rapid7
Vulnerabilities 09:04 Anglo-Saxon vulnerability lists AA23-215A 12:32 August Microsoft Patch Tuesday 14:40 WinRAR Extension Spoofing (CVE-2023-38831) 15:16 Juniper RCE (CVE-2023-36844)
Если вам зашло, полайкайте пожалуйста и мы тогда запустим это в регулярном режиме, в нормальном качестве, с заставками и всем нужным. 🙂 Если кто-то хочет поучаствовать в таких посиделках - пишите в личку. 😉 И если у вас идея названия получше чем "Прожектор по ИБ", то тоже пишите.
Диалог напоминает классические диалоги Деленн и Шеридана. 👍 Но Деленн, конечно, должна говорить голосом Миры Фурлан. Иначе что-то не то. Not the one. JMS на тему использования голосов умерших актёров написал в духе, что это неэтично и такой вариант не рассматривался. Но, учитывая текущую зрелость и распространенность голосовых дипфейков (для примера - вот Высоцкий вполне убедительно КиШа поёт), думаю анимированную Деленн с голосом Миры Фурлан мы всё-таки увидим/услышим. 🙂 Хотя бы и в рамках фан-творчества.
PS: С голосовыми дипфейками ситуация на самом деле довольно пугающая, поскольку получить убедительную запись какого угодно текста каким угодно голосом становится всё проще и проще. Хочется надеяться, что правоприменительная практика будет поспевать за техническим прогрессом и к людям, чьи голоса скопировали и использовали произвольным образом, не будут докапываться почём зря.
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
