Архив рубрики: Видео

Алексей Лукацкий выложил слайды своей презентации по VM-у от 2008 года

Добавить комментарий

Алексей Лукацкий выложил слайды своей презентации по VM-у от 2008 года. Я тогда ещё в универе учился и ни о каких сканерах уязвимостей не задумывался. "Будь я нескромен, сказал бы, что я - пророк 😊". В целом да, справедливо, всё в примерно эту сторону и развивается. Пару слайдов я даже не удержусь, стащу для своей презы. 😉

Хочется, правда, обратить внимание, что все слайды (кроме одного - "рост сканирующих возможностей") про то, что нам делать с имеющейся информацией об уязвимостях инфраструктуры. С чем нам ещё интегрироваться, какие ещё управляющие воздействия на основе факта наличия уязвимостей сделать. Как будто бы информация об уязвимостях для всех активов организации уже есть или может быть тривиальна получена. И эта информация достоверна, полна и достаточна. Это, разумеется, не так. Это никогда не было так и долго ещё не будет. Просто редко кто-то смотрит под капот, как на самом деле работают детекты и какие ограничения у них есть. А запроса на открытые базы детектов уязвимостей, которые позволяли бы хотя бы приблизительно оценивать "слепые пятна" у средств Управления Уязвимостями (Сканеров Уязвимостей, СДУИ - как угодно) как не было, так и нет. И со стороны VM-вендоров он не появится, им туда лезть невыгодно. Он должен подниматься снизу, формулируйте и задавайте им неудобные вопросы, товарищи!

Методические документы регуляторов, связанные с Управлением Уязвимостями

2 комментария

Методические документы регуляторов, связанные с Управлением Уязвимостями. В презентации, которую я сейчас готовлю к ISCRA Talks, будет слайд про документы регуляторов связанные с VM-ом, выпущенные за последние 1,5 года. Если я что-то важное пропустил, напишите мне, пожалуйста, в личку или комментом в пост в ВК.

1. НКЦКИ "Критерии для принятия решения по обновлению критичного ПО, не относящегося к open-source". Рекомендательный алгоритм, помогающий принять решение: установить обновление с риском привнести НДВ (недекларированные возможности)/блокировку функциональности или не обновлять с риском получить эксплуатацию уязвимости. Этого алгоритма я касался в выступлении на PHDays 11 и писал скрипты автоматизации проверок по нему в рамках опенсурсного проекта Monreal.

2. ФСТЭК "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств". Описывает каким образом можно получить общую оценку критичности уязвимости и выставить требования по оперативности исправления. Я писал комментарии по этой методике.

3. ФСТЭК "Методика тестирования обновлений безопасности программных, программно-аппаратных средств". Описывает какими способами искать НДВ в обновлениях безопасности. Мои комментарии к этой методике: Часть 1, Часть 2, Часть 3.

4. ФСТЭК "Рекомендации по безопасной настройке операционных систем Linux". Рекомендации распространяются на настройку НЕсертифицированных ОС (Debian, Ubuntu, CentOS Stream, Alma Linux, Rocky Linux, openSUSE и прочего) "до их замены на сертифицированные отечественные операционные системы". Я разбирал эти рекомендации.

5. ФСТЭК "Руководство по организации процесса управления уязвимостями в органе (организации)". Подробное описание этапов процесса, участников процесса и выполняемых ими операций. Я написал комментарии к проекту руководства "процесс не для человеков" и "место автоматического детектирования уязвимостей".

По поводу предыдущей картинки, вынесу из комментов в ВК

Добавить комментарий

По поводу предыдущей картинки, вынесу из комментов в ВК.

1. В другом качестве картинки нет, стащил из аккаунта Nucleus в соцсеточке, на сайте у них не нашел. 🤷‍♂️ Но это просто статистика по второй колонке из CISA KEV.

2. "Возможно большее количество уязвимостей говорит о большей распространенности и большем числе продуктов вендора. А Linux - здесь наверное только linux kernel?" Да, Linux это только Linux Kernel, а Microsoft это все продукты Microsoft, включая Windows Kernel. Но то, что продукты Microsoft наиболее активно атакуются - факт. Отказ от продуктов Microsoft поднимет защищённость хотя бы по логике "если у вас нет собаки, её не отравит сосед". 🙂

3. "Как эппл и адоб умудрились заслужить столько?" У Adobe основной генератор дырок это PDF reader. Apple macOS, к сожалению, достаточно популярная десктопная ОС, для неё регулярно находят критичные RCE уязвимости. В основном в ядре и WebKit. Средств администрирования и защиты информации для macOS меньше и они не так развиты. Поэтому, имхо, устройства Apple в инфраструктуре это даже большая проблема, чем продукты Microsoft.

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023-28311) с эксплоитом и Windows Pragmatic General Multicast (PGM) RCE (CVE-2023-28250) похожая на QueueJumper RCE в MSMQ. Также добавил много RCE в Windows DNS Server, но что-то определенное по ним сказать сложно.

Critical
00:50 Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252)
01:44 Remote Code Execution - Microsoft Word (CVE-2023-28311)

Other
02:18 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554) (QueueJumper)
03:17 Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-28250)
04:05 Lots of CVEs Remote Code Execution – Microsoft PostScript and PCL6 Class Printer Driver (CVE-2023-24884, CVE-2023-24885, CVE-2023-24886, CVE-2023-24887, CVE-2023-24924, CVE-2023-24925, CVE-2023-24926, CVE-2023-24927, CVE-2023-24928, CVE-2023-24929, CVE-2023-28243)
04:24 Lots of CVEs Remote Code Execution – Windows DNS Server (CVE-2023-28254, CVE-2023-28255, CVE-2023-28256, CVE-2023-28278, CVE-2023-28305, CVE-2023-28306, CVE-2023-28307, CVE-2023-28308)
04:32 Remote Code Execution - DHCP Server Service (CVE-2023-28231)

Video: https://youtu.be/aLt5k18jOwY
Video2 (for Russia): https://vk.com/video-149273431_456239123
Blogpost: https://avleonov.com/2023/04/28/microsoft-patch-tuesday-april-2023-clfs-eop-word-rce-msmq-queuejumper-rce-pcl6-dns-dhcp/
Vulristics report: https://avleonov.com/vulristics_reports/ms_patch_tuesday_april2023_report_with_comments_ext_img.html

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога

Добавить комментарий

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.

00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor

Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/

Про "Битву роботов"

Добавить комментарий

Про "Битву роботов". Не знаю, кому в Минцифре пришла в голову идея основательно взяться за организацию российского аналога Robot Wars и BattleBots, с сайтом на госуслугах и прочим, но идея прямо огненная. 🔥👍 Очень одобряю.

Единственное, у американцев и британцев это прежде всего ТВ-шоу. Поэтому уровень видео-продакшена у них изумительный. У российских же соревнований пока всё было скромненько в этом отношении. Но смотрибельно. 🙂 Хочется надеяться, что будет лучше. Подписался на официальный канал, буду следить за обновлениями.

PS: Я фанат drum spinner-ов, особенно нравится бразильский Minotaur. 😍