CyberOK делает "российский Shodan" - проект Rooster. Презентация "Интернет-картография в 2023 году. Чего не может Shodan." по названию может показаться не особенно интересной, но на самом деле там скрывается топовый контент обязательный для просмотра VM-щикам!
Начинается всё предсказуемо с обзора Global ASM (Attack Surface Management) решений. А затем идет подробный технический рассказ про то, как команда CyberOK делала свой высокопроизводительный сканер сетевого периметра, который способен сканировать всё адресное пространство IPv4 за 24 часа. Эта разработка шла для Минцифры, так что видимо это и есть начинка того самого "российского Shodanа" для рунета. Только, в отличие от Shodan-а, Rooster сканирует все TCP порты, а детекты уязвимостей у него не баннерные, а с активными "безопасными проверками"! Также там есть интересные решения по приоритизациии уязвимостей.
Меня презентация сильно впечатлила - активно рекомендую!
Алексей Волков, VK: "Все последние инциденты, которые я знаю, которые произошли за последний год, были достаточно длительны во времени. С момента проникновения в инфраструктуру и до момента вредоносных действий проходило очень долгое время. 4-5 месяцев, а то и больше. Мне известны случаи, когда и по 1,5 года сидели в инфраструктуре и наблюдали. Самое главное, что причиной подавляющего числа инцидентов были НЕ использование каких-то серьезных инструментов, каких-то 0day, каких-то супер-техник и тактик. Причина большинства инцидентов - это банальный IT-шный бардак. Антивирус есть - не обновляется. Операционные системы - патчи не ставятся. Второй фактор не прикручен. Админки торчат наружу. Никакого управления доступом там в помине нет. Я уж не говорю о каких-то SSDLC. Когда мы говорим про то, что нужно делать прямо сейчас, все очень просто. Идите засучите рукава и наведите порядок в базе!"
Все, о чем вы хотели, но боялись спросить регулятора
Виталий Лютиков, ФСТЭК России. Ответ про уязвимости в контексте использования зарубежных NGFW:
"Сам факт использования зарубежного сетевого экрана, особенно в КИИ, не столько критичен, сколько использование уязвимого зарубежного межсетевого экрана. Поэтому я всем рекомендую, у кого на периметре стоят такие средства, озадачиться вопросом анализа уязвимоcтей (которые сейчас по некоторым классам продуктов всё чаще и чаще появляются, и критичные, в том числе эксплуатируемые удаленно) и формированием компенсирующих мер, выработкой сигнатур, постановке на мониторинг, анализом событий и т.д. Для того, чтобы эти риски компенсировать. Вот это более критично чем факт использования зарубежного сетевого экрана, по крайней мере до 25го года."
"Если отсутствие технической поддержки привело к наличию уязвимости, которое не компенсируется другими способами или средствами, то тогда данное нарушение мы рассматриваем с соответствующими санкциями. Если [компенсирующие меры] выработаны, тогда рекомендация по переходу к соответствующему сроку, но санкции не применяются."
Владимир Бенгин, Минцифры России. Рассказал про положительный опыт багбаунти Госуслуг. Нашли десятки уязвимостей, хотя ожидалось, что после всех пентестов ничего не найдут. Опыт будут масштабировать и будут продвигать. Завтра будут подробности.
Слайды с CVE-шками и выводы из презентации "Кто, как и зачем атакует Linux-инфраструктуры" Олега Скулкина, BIZONE. В докладе в основном приводились примеры простых команд и shell-скриптов, которые используют злоумышленники, но есть и несколько CVE-шек. Это Log4Shell (CVE-2021-44228) для начального проникновения. А также подъем привилегий в pkexec "PwnKit" (CVE-2021-4034) и sudo "Baron Samedit" (CVE-2021-3156). Делается вывод, что Linux-системы это совсем не тихая гавань, за ними нужно следить и вовремя обновлять.
Национальные особенности cелебрити-маркетинга по ИБ
2016 год. Конференция RSA. Компания Qualys проводит встречу с Рами Малеком, актером, исполнившим главную роль в сериале про хакеров Мистер Робот. 2023 год. Фестиваль PHDays 12. Компания Авангард Медиа проведет встречу с Виктором Рыбиным, музыкантом, лидером группы Дюна, исполнившим такие хиты как "Страна лимония", "Коммунальная квартира", "Привет с большого бодуна" и другие.
"Фестиваль в самом разгаре.
И уже совсем скоро, в 14:40, к нам на стенд придёт гость - Музыкант Виктор Рыбин.
Он расскажет об опыте защиты личных данных в Сети. А после всех ждёт розыгрыш призов (регистрируемся на нашем стенде!)."
Кроме шуток, офигенный гость. 🤩 Кусаю локти, что сегодня не на PHDays. Если кто-то из читателей будет, возьмите для меня автограф плз!🙏🙂
Про историю Vulnerability Management-а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Traditional Vulnerability Management is Dead!" с Stefan Thelberg, CEO Holm Security. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.
В начале Stefan Thelberg заявляет про историю Vulnerability Assessment-а (Vulnerability Management-а) буквально следующее:
1. Оригинальная идея Vulnerability Assessment-а появилась в гайдлайнах NIST-а. 2. Прошло 20 лет и появились первые Vulnerability Assessment продукты. 3. Большая часть Vulnerability Assessment продуктов родились из опенсурсного проекта OpenVAS. 4. Один из наиболее распространенных продуктов на рынке, Nessus, это коммерческий форк OpenVAS. 5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Tenable, Qualys.
То, что VA/VM родился из каких-то публикаций NIST-а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был OpenVAS, а потом Nessus это очень странно. Первая версия The Nessus Project вышла в 1998 как GPL проект. Первая версия XSpider (тогда Spider) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Tenable в 2002, Positive Technologies в 2002. Проект OpenVAS (GNessUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus-а, т.к. сам Nessus с 2005 года стал проприетарным продуктом Tenable.
Вот и думай теперь, то ли Stefan Thelberg говорит о том, о чем понятия не имеет. То ли он как-то странно называет OpenVAS-ом оригинальный Nessus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus-а или OpenVAS-а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nexpose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nessus. Может, конечно, у самих Holm Security движок это OpenVAS и они всех по себе меряют, не знаю. 😏
Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM-у" не поддерживать все типы активов, которые в организации есть - непонятно. Да и какой-то проблемы прикрутить к VM-у Антифишинг, если так уж хочется, тоже нет.
Tenable переименовывают свои продукты.Обратно. 🤩 Отчётливо помню как это было. Например, для SecurityCenter:
"Nov 28, 2018 — Tenable SecurityCenter was renamed Tenable.sc to better reflect its position as a core element of the Tenable Cyber Exposure platform."
Прошло 5 лет и они переименовывают его обратно в Tenable Security Center (теперь с пробелом). С другими продуктами аналогично.
"May 15, 2023 — Tenable is changing its products’ names to make them more descriptive, so that it’s easier for people to understand our portfolio and the capabilities we offer."
Сразу видно, что делом люди заняты, молодцы. 🤡 Зато у Tenable наконец появился продукт Tenable Vulnerability Management. 😏
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
