На канале Код ИБ вышла запись ИБшного Движа со мной (от 8 сентября). Ссылки на доп. материалы публиковал ранее. В целом формат прикольный, можно подумать над продолжением. 🙂
02:02 Обо мне 03:13 Неприятная, но интересная трансформация Vulnerability Management в 2022 году: глобальные VM-вендоры ушли (на примере Tenable), доверие к глобальным IT-вендорам было подорвано (на примере Microsoft) 11:28 Оценка стабильности вендоров и проект Monreal 14:40 Как патчить продукты нестабильных вендоров? Реализация алгоритма НКЦКИ в проекте Monreal 21:23 Open Source нас спасет? Да, но есть нюансы. "Товарищи, а кто ваш апстрим?" 25:41 Можем ли мы защититься от зловредной функциональности в OpenSource? 29:27 В этом году регуляторы развернулись лицом к проблемам Vulnerability Management-а (Молодцы!)
Hello everyone! Let’s take a look at Microsoft’s September Patch Tuesday. This time it is quite compact. There were 63 CVEs released on Patch Tuesday day. If we add the vulnerabilities released between August and September Patch Tuesdays (as usual, they were in Microsoft Edge), the final number is 90. Much less than usual.
00:30 Proof-of-Concept Exploits (CVE-2022-33679, CVE-2022-38007, CVE-2022-34729) 02:29 Exploitation in the wild: CLFS Driver EoP (CVE-2022-37969), Microsoft Edge Security Feature Bypass (CVE-2022-2856, CVE-2022-3075) 03:54 IP packet causes RCE: Windows TCP/IP RCE (CVE-2022-34718), IKE RCE (CVE-2022-34721, CVE-2022-34722) 05:39 Windows DNS Server DoS (CVE-2022-34724) 06:30 Spectre-BHB (CVE-2022-23960)
Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.
Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.
Scanvus может показать уязвимости для
- локалхоста - удаленного хоста по SSH - docker-образа - файла c инвентаризацией
Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.
В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).
Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо. Почти соло-стрим получился. 🙂 Соберу ссылочки на темы, которые я упоминал.
Часть 1 * 1:05 - 2:32Управление мисконфигурациями и управление уязвимостями, можно ли делать в рамках одного процесса? Леонов * 2:32 - 3:45А уязвимость процесса это часть VM? Какая функциональность входит в VM? Можно ли отталкиваться от функциональности САЗ? Родыгин, Леонов * 3:45 - 6:15А есть ли устоявшаяся терминология в VM? Пример: что такое Compliance Scan? Assessment и Mitigation plan. Ермаков 6:20 - 6:38 Smart Install в Cisco это уязвимость или мисконфигруация? Хлапов 6:42 - 7:34 Vulnerability, Weakness и Misconfiguration. О доверии экспертному мнению. Кузнецов 7:53 - 9:44 Уровни уязвимостей. Мисконфигурации это уязвимости. Волчков * 10:12 - 14:53А всякая ли небезопасная настройка приводит к уязвимости? На примере CIS Benchmarks. Нам нужны более лучшие стандарты. Кузнецов, Волчков, Леонов, Ермаков 14:55 - 15:44 Реализуемость уязвимости для конкретной системы. Родыгин * 16:15 - 22:37Трендовые эксплуатируемые уязвимости. Кузнецов, Леонов, Хлапов, Ермаков, Родыгин 22:50 - 26:27 Стандарты и требования по безопасной конфигурации: регуляторные и корпоративные. Волчков * 26:27 - 27:55Требования по управлению уязвимостями. Методичка по управлению патчами и уязвимостями для MaxPatrol на 300 страниц. Кузнецов 28:00 - 29:30 Стоит ли вообще устранять уязвимости? Родыгин, Волчков 29:30 - 52:58 Стоит ли устранять все уязвимости? Кузнецов, Леонов, Ермаков, Волчков, Хлапов, Родыгин * -> 29:30 - 30:33Не стоит устранять все, фокусироваться на детекте и реагированием на действия злоумышленника. Кузнецов * -> 30:41 - 36:16Нужно исправлять все уязвимости, если вы доверяете вендору. Леонов. Оппонируют Ермаков, Кузнецов, Родыгин -> 36:16 - 36:55 Уязвимости могут становиться нереализуемыми из-за изменения архитектуры. Родыгин, Кузнецов -> 36:55 - 38:41 Нужно ли оценивать реализуемость? Родыгин - да, Кузнецов - нет -> 38:41 - 39:47 Все патчить невозможно. Хлапов, Родыгин * -> 39:47 - 41:15А почему нам больно патчиться? Леонов -> 41:30 - 42:41 Пример кейса, когда патчиться не вариант. Кузнецов -> 42:41 - 44:06 Переконфигурирование как способ ремедиации. Волчков -> 44:06 - 47:07 Архитектурные изменения лучше патчинга. Родыгин. Оппонирует Кузнецов * -> 47:07 - 48:19Комментируем результаты опроса. Леонов, Родыгин, Волчков -> 48:50 - 50:51 Автоматическая приоритизация на основе сетевых сегментов и ассетов. Хлапов, Кузнецов * -> 50:51 - 52:58Патчить нужно всё, потому что хорошая качественная сетевая сегментов это иллюзия. Ермаков
52:58 - 1:04:42 Взаимодействие ИБ и ИТ в части управления уязвимостями. Волчков, Родыгин, Кузнецов, Хлапов 1:04:54 - 1:07:35 Автоматизация и централизованный менеджмент конфигураций. Волчков, Ермаков, Кузнецов * 1:07:35 - 1:13:34Инвентаризация ассетов и инвентаризация софтов как основа для Vulnerability и Compliance Management-а. Ермаков, Волчков, Кузнецов, Хлапов, Леонов, Родыгин * 1:13:58 - 1:17:05Конкретные решения на рынке для VM и CM. Леонов, Кузнецов, Хлапов 1:17:47 - 1:20:16 Решение SpaceBIT для CM. Волчков 1:21:06 - 1:33:59 Вопросы -> 1:21:06 - 1:22:40 Как считать вероятность эксплуатации уязвимости? Кузнецов * -> 1:23:20 - 1:24:44Патчинг "ушедших" вендоров. Алгоритм НКЦКИ. Леонов, Родыгин, Кузнецов -> 1:24:44 - 1:28:24 Внедрение CIS стандарта. Хлапов, Ермаков, Кузнецов, Волчков -> 1:28:24 - 1:29:30 Кто должен заниматься безопасной настройкой. Кузнецов * -> 1:29:30 - 1:33:59Насколько можно доверять аудиту Windows хостов по аналогии с аудитом Linux хостов? Ограничения детектов сканеров. Леонов, Кузнецов, Родыгин 1:33:59 Завершающие слова.
Microsoft продолжают чудачить. Принесли новую уязвимость. Проигрывание музыкального клипа Janet Jackson - Rhythm Nation (1989) ломает некоторые жесткие диски в некоторых ноутбуках ~ 2005-го года выпуска. Причем не только если клип проигрывается на самом устройстве, но и просто на соседнем устройстве. Есть в этом клипе какие-то частоты, которые с чем-то там в жестком диске резонируют. 😄 Звучит как лютый бред, но вот CVE-шка есть, CVE-2022-38392:
"A certain 5400 RPM OEM hard drive, as shipped with laptop PCs in approximately 2005, allows physically proximate attackers to cause a denial of service (device malfunction and system crash) via a resonant-frequency attack with the audio signal from the Rhythm Nation music video."
Заведена по посту в майкрософтовском блоге. Пишут, что неназванный "major computer manufacturer" зафиксил уязвимость добавлением кастомного аудио-фильтра:
"The manufacturer worked around the problem by adding a custom filter in the audio pipeline that detected and removed the offending frequencies during audio playback."
На самом деле демонстирует отсутствие какого-либо входного барьера при заведении CVE. CVE Numbering Authorities могут завести практически что угодно, с каким-угодно обоснованием, вплоть до совсем анекдотических.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.