1. В другом качестве картинки нет, стащил из аккаунта Nucleus в соцсеточке, на сайте у них не нашел. 🤷♂️ Но это просто статистика по второй колонке из CISA KEV.
2. "Возможно большее количество уязвимостей говорит о большей распространенности и большем числе продуктов вендора. А Linux - здесь наверное только linux kernel?" Да, Linux это только Linux Kernel, а Microsoft это все продукты Microsoft, включая Windows Kernel. Но то, что продукты Microsoft наиболее активно атакуются - факт. Отказ от продуктов Microsoft поднимет защищённость хотя бы по логике "если у вас нет собаки, её не отравит сосед". 🙂
3. "Как эппл и адоб умудрились заслужить столько?" У Adobe основной генератор дырок это PDF reader. Apple macOS, к сожалению, достаточно популярная десктопная ОС, для неё регулярно находят критичные RCE уязвимости. В основном в ядре и WebKit. Средств администрирования и защиты информации для macOS меньше и они не так развиты. Поэтому, имхо, устройства Apple в инфраструктуре это даже большая проблема, чем продукты Microsoft.
Выпустил блогопост и видяшку по апрельскому Micorosoft Patch Tuesday Vulristics для англоязычного канала и блога. По сравнению с первыми впечатлениями добавились Microsoft Word RCE (CVE-2023-28311) с эксплоитом и Windows Pragmatic General Multicast (PGM) RCE (CVE-2023-28250) похожая на QueueJumper RCE в MSMQ. Также добавил много RCE в Windows DNS Server, но что-то определенное по ним сказать сложно.
Critical 00:50 Elevation of Privilege - Windows Common Log File System Driver (CVE-2023-28252) 01:44 Remote Code Execution - Microsoft Word (CVE-2023-28311)
Other 02:18 Remote Code Execution - Microsoft Message Queuing (CVE-2023-21554) (QueueJumper) 03:17 Remote Code Execution - Windows Pragmatic General Multicast (PGM) (CVE-2023-28250) 04:05 Lots of CVEs Remote Code Execution – Microsoft PostScript and PCL6 Class Printer Driver (CVE-2023-24884, CVE-2023-24885, CVE-2023-24886, CVE-2023-24887, CVE-2023-24924, CVE-2023-24925, CVE-2023-24926, CVE-2023-24927, CVE-2023-24928, CVE-2023-24929, CVE-2023-28243) 04:24 Lots of CVEs Remote Code Execution – Windows DNS Server (CVE-2023-28254, CVE-2023-28255, CVE-2023-28256, CVE-2023-28278, CVE-2023-28305, CVE-2023-28306, CVE-2023-28307, CVE-2023-28308) 04:32 Remote Code Execution - DHCP Server Service (CVE-2023-28231)
Единственное, у американцев и британцев это прежде всего ТВ-шоу. Поэтому уровень видео-продакшена у них изумительный. У российских же соревнований пока всё было скромненько в этом отношении. Но смотрибельно. 🙂 Хочется надеяться, что будет лучше. Подписался на официальный канал, буду следить за обновлениями.
Про компьютерную игру Atomic Heart в контексте ИБ. Посмотрел на выходных полное прохождение. Некоторые особенно крутые локации даже в нескольких прохождениях. Это, безусловно, веха в отечественном игростроении и большое культурное событие. Стартовая локация настоящее произведение искусства. Очень детализированная, щедро наполнена контентом. Из того, что особенно запомнилось это милая отсылка к Рэсси из Электроника и трогательная сцена с ветераном у вечного огня. Ну и основное это то, что все отсылки к нашему советскому/постсоветсткому культурному коду, поэтому выстреливают на все 100. Конечно, хотелось бы чтобы вся игра была про блуждание по городу из стартовой локации, но это невозможно. Слишком дорого. И по жанру это все-таки стрелялка с головоломками. Пишут, что это аналог BioShock, с которым я не знаком. Мне же напомнило Half-Life или Portal. Записки и аудиозаписи, на которые натыкается главный герой заставили вспомнить приколы из начала нулевых, типа Хроники лаборатории/диверсантов. Юмора в меру. 🙂 Матюков больше меры, но как уж есть.
То, что можно отнести к ИБ, но это СПОЙЛЕРЫ. Рекомендую прочитать после того как полностью зацените игру:
В общем, мне понравилось. Молодцы авторы, что умудрились все-таки не склепать агитку (которая напрашивалась). Долголетия франшизе. Старт мощный. Не удивлюсь, если по этой вселенной будут книги выходить, я их даже почитаю. 🙂
1. Раньше я о них не слышал. Из шведских VM-щиков я знал и общался только с Outpost24 . А тут оказывается есть ещё один шведский вендор, да ещё и существует с 2015 года. Круто! 2. Основная их фишка в том, что они совместили в одно решение Антифишинг и Управление Уязвимостями. 🤯 Очень необычно. Это меня особенно порадовало, т.к. на работе я как раз занимаюсь и Управлением Уязвимостями, и Антифишингом. 😅 Так сложилось. О нашей системе антифишинга был доклад на прошлом Offzone (презентацию готовил я, а докладывал Павел Жерелин). Так вот, мне всегда казалось, что Антифишинг это для меня непрофильная нагрузка. А оказалось, что в Holm Security всерьез позиционируют Антифишинг как часть VM-а. "Благодаря Next-Gen подходу [Vulnerability Management] платформа борется со всеми векторами атак, которым подвергается организация, включая защиту одного из самых важных активов — ваших сотрудников". Если сотрудники попадаются на фишинг, то это тоже своего рода уязвимость, которая исправляется обучением и другими мероприятиями. Согласитесь, довольно нестандартный подход. Так что теперь при случае могу говорить, что занимаюсь VM-ом не только для IT-инфраструктуры, но и для людей. 😁
Я, конечно, сомневаюсь, что в Holm Security действительно считают Антифишинг такой уж неотъемлемой частью процесса Управления Уязвимостями. Вероятнее, что у них были эти 2 решения в портфеле и их маркетологи решили, что они будут эффективнее продаваться в рамках одной платформы. Ну и подвели некоторую базу под это. Однако, если в эту тему поиграться, то действительно можно сделать некоторые занимательные выводы и для Антифишинга, и для Управления Уязвимостями.
Смотрим на Антифишинг с точки зрения Управления Уязвимостями: 1. Если актив уязвим (сотрудник попался), то должен быть ответственный за актив, который сделает фикс. А кто этот ответственный? Видимо это непосредственный руководитель сотрудника, который должен был проводить инструктаж. И спрашивать нужно в первую очередь с него, а не с попавшегося человека. 2. Если в VM мы стремимся к полному покрытию IT-активов, то Антифишинг не должен быть выборочным, а должен покрывать всех сотрудников. 3. Если в VM мы не проверяем активы только на одну уязвимость, а стараемся проводить проверки для всех возможных уязвимостей, то и Антифишинг должен касаться разнообразных техник и психологических манипуляций, с которыми может столкнуться сотрудник в реальной фишинговой атаке.
Смотрим на Управление Уязвимостями со стороны Антифишинга: 1. Если в Антифишинге мы предлагаем попавшемуся сотруднику пройти обучение по ИБ, почему бы не назначать курс по ИБ для владельца уязвимого актива? Пусть разбирается почему обновляться это важно. 2. Если в Антифишинге мы ограничиваем доступ к входящем письмам тем сотрудникам, которым обучение не помогает, то почему бы не ограничивать работу владельцам уязвимых активов, которые не справились с поддержанием их в безопасном (обновленном) состоянии? Показал, что не можешь полноценно владеть активом и обучение не помогло - теряешь доступ к этому активу, пусть более ответственные люди за него отвечают.
Т.е. возможно подводить Управление Уязвимостями и Антифишинг под некоторый общий базис это не такая бредовая идея, как может показаться на первый взгляд. 🙂
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.