Взгляд на VM-процесс со стороны Positive Technologies. Та же методика, которая раньше публиковалась. Задачка в 2DO - попробовать смапить это на руководство ФСТЭК. 😉
Что мешает эффективно работать с уязвимостями? Хороший набор болей, всё так. 🙂
- Полнота охвата
- Уязвимостей слишком много
- Нужно договариваться с IT
Сегодня на тест-драйве MaxPatrol VM. Заявлена насыщенная программа на весь день. Будет как подробный обзор продукта, так и несколько часов практических занятий. В предвкушении. 🤩 В зале 30 столов на двоих, на момент публикации где-то на процентов 90 заполнилось. Знакомых из слушателей никого. А ведь это все VM-щики видимо. Надо активнее нетворкиться. 🙂
Проглядываю поток новостей про MOVEit и радуюсь, что в наших широтах это зверь редкий.
"Гарантируйте надежность основных бизнес-процессов и передавайте конфиденциальные данные между партнерами, клиентами и системами безопасным и соответствующим [требованиям регуляторов] образом с помощью MOVEit." Ну да. 😏
С 31 мая выходит уже третья активно эксплуатируемая уязвимость.
"Компания призывает всех своих клиентов отключить весь HTTP- и HTTPs-трафик к MOVEit Transfer через порты 80 и 443, чтобы защитить свои среды, пока готовится исправление для устранения уязвимости." 🙂
До этого были SQLi CVE-2023-35036 и CVE-2023-34362 (есть PoC, эксплуатировалась для кражи данных с июля 2021 года!)
Эпично фейлят конечно, но любые подобные корпоративные сервисы для файлообмена будут лакомой целью.
Записали сегодня Cyber Media подкаст про Управление Уязвимостями в России. Душевно посидели. Обсудили уход вендоров, инициативы регуляторов, перспективы импортозамещения. Актуалочку с Триангуляцией и Битриксом тоже зацепили. 😇 Должны скоро смонтировать и выложить, следите за новостями. Первый выпуск подкаста Cyber Media про безопасную разработку можете на Youtube канале Cyber Media посмотреть.
Про ехать-не ехать. Сегодня интересное интервью президента Чехии вышло. Ссылку давать не буду, найдите-почитайте. Там он высказывается за "меры безопасности в отношение российских граждан" и строгий режим наблюдения со стороны спецслужб. Привел пример:
"во времена, когда началась Вторая мировая война, - тогда всё японское население, проживающее в Соединенных Штатах, также находилось под строгим режимом наблюдения".
Что было с японцами в США во время WW2 президент Чехии, генерал армии в отставке, не может не знать. Об этом можно почитать в википедии:
"Интернирование японцев в США — насильственное перемещение около 120 тысяч японцев (из которых 62 % имели американское гражданство) с западного побережья Соединённых Штатов Америки во время Второй мировой войны в концентрационные лагеря, официально называвшиеся «военными центрами перемещения»."
Намёк вполне прозрачный. Ехать-не ехать это пусть каждый сам для себя решает, но для российских граждан находиться сейчас на территории глобального Запада (особенно в восточных лимитрофах) кажется очень большой ошибкой, возможно фатальной. Берегите себя, выбирайте более безопасные локации для жизни.
Алексей Лукацкий задаётся вопросом: будет ли ФСТЭК переходить на CVSS 4.0? Мне это тоже интересно.
Имхо, CVSS это не священная корова и держаться за него не стоит:
1. CVSS это результат заполнения довольно сомнительного и субъективного опросника. То, что у ресерчера, вендора и у NVD не совпадают CVSS для одной и той же уязвимости это норма.
2. CVSS v2, v3 и v4 несовместимы между собой. Сейчас в NVD есть уязвимости без CVSS, только с v2, с v2 и с v3, только с v3. Будьте уверены, что переход на v4 зоопарк усугубит. Нужно ли это и в БДУ тянуть?
3. Положа руку на сердце, кто при приоритизации уязвимостей полагается исключительно на CVSS? Это один из факторов. И не самый важный. Основная ценность CVSS, что Base метрики предоставляются NIST-ом открыто и бесплатно. А Temporal метрики никто не предоставляет, поэтому их и не используют. Не говоря уж об Environmental, которые надо самим заполнять.
Поэтому я бы рекомендовал не переходить на CVSS v4, а сделать следующее:
1. Создать свой опросник с калькулятором а-ля CVSS. Также с векторами (записываемыми в строчку) и скорами. Назвать как-нибудь оригинально, например "Общая Система Оценки Критичности Автоматизируемая" (ОСОКА). 😉 Какой конкретно это должен быть опросник - предмет отдельного обсуждения. Я бы делал его максимально простым и кратким, пусть даже в ущерб точности оценки. Лишь бы базовый скор явно критичных уязвимостей был около 10, а явно некритичных был около 0. Инфраструктурный компонент из методики оценки критичности уязвимостей также учесть в ОСОКА (сделать как в Environmental метриках CVSS).
2. САМОЕ ГЛАВНОЕ! Выпустить методические указания как использовать CVSS v2, v3, v4 в качестве входящих данных для получения вектора ОСОКА. Очень желательно, чтобы базовая часть ОСОКА автоматом получалась из Base метрик CVSS v2, v3, v4, иначе скорее всего это не взлетит.
3. В перспективе заменить все упоминания CVSS и методику оценки критичности уязвимостей ФСТЭК на ОСОКА.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.