Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

1 комментарий

Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

Позволяют детектировать известные уязвимости CVE/БДУ, мисконфигурации и (частично) неизвестные уязвимости (например XSS в самописном веб-приложении) для активов, которые публично доступны из Интернет. Для сбора информации об активах используется активное сетевое сканирование. Сканирование производится с внешней площадки вендора, что обеспечивает взгляд на анализируемую инфраструктуру как у атакующего.

Metascan. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. Позволяет детектировать уязвимости для оборудования, системных сервисов и веб-приложений. Для детектирования уязвимостей использует свой веб-краулер, модули собственной разработки и на основе свободного ПО. Позволяет проводить проверку TCP/UDP портов на соответствие белому списку. Сервис также включает экспертное сопровождение: анализ обнаруженных уязвимостей, демонстрацию PoC и команд для эксплуатации, участие в совместных планерках по состоянию сетевого периметра.

СКАНФЭКТОРИ. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. В рамках одной платформы предоставляет доступ к 16 сканерам безопасности системных сервисов и веб-приложений. В качестве дополнительной услуги возможна верификации результатов детектирования экспертами.

Group-IB - Attack Surface Management. Решение для контроля внешней поверхностью атаки. Включает возможности по инвентаризации IT-активов и детектированию уязвимостей связанных с ними. Позволяет выявлять теневые IT-активы, неизвестные в организации. С помощью решения также возможно контролировать утечки учетных записей и данных в Dark web.

BI ZONE - CPT (Continuous Penetration Testing). Решение для постоянного контроля защищенности внешнего IT-периметра организации. Сочетает автоматизированное сканирование на наличие уязвимостей и ручную верификацию найденных уязвимостей экспертами. Эксперты также сопровождают подтвержденные уязвимости рекомендациями по устранению.

МТС RED - Сicada 8. Платформа для централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени.

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров

2 комментария

Картинка Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Непосредственно тестил Metascan и СКАНФЭКТОРИ. Решения идеологически разные, но вполне рабочие и команды очень адекватные. 👍

Предыдущая картинка по СДУИ.

GitHub начал блокировать персональные аккаунты сотрудников подсанкционных компаний

2 комментария

GitHub начал блокировать персональные аккаунты сотрудников подсанкционных компаний. Сейчас пострадали сотрудники компании YADRO. Это отечественный вендор серверов и систем хранения данных.

Компания под блокирующими американскими санкциями с 24 февраля 2023 года. В корпоративном GitHub аккаунте YADRO все репозитории теперь в статусе Public archive, т.е. только для чтения. У 6 из 7 человек с Organization permissions в YADRO, все репозитории в статусе Public archive. Только одному почему-то не поблочили.

В частности, заблочили репозиторий популярной утилиты IPMI Tool, которую мантейнит сотрудник компании YADRO Александр Амелькин. Судя по сообщению Александра, учетку GitHub ему тоже засуспендили.

Что тут можно сказать:

1. То, что поблочили корпоративные акки это было ожидаемо. Из тех же соцсеточек и Ютуба удаляют аки компаний только в путь. То, что поблочили личные акки сотрудников это уже что-то новенькое. Обычно тех, кто не под персональными санциями, не трогали. Видимо ситуация изменилась. Этак далеко могут зайти и начать вводить ограничения против бывших сотрудников или вообще не сотрудников, а каким-то образом связанных лиц.
2. Если важно пользоваться именно GitHub (GitLab, Bitbucket и т.п.), связь с компанией под санкциями лучше не светить. 🤫
3. По-хорошему нужно переводить проекты на альтернативные площадки (российские, китайские). Т.к. у меня на GitHub ничего супер-критичного нет, я буду там сидеть пока не заблочат, а потом перееду на российскую площадку. Или вообще хостить код буду у себя на сайте, все равно я там единственный контрибьютор как правило. 🙂

Первые впечатления от мартовского Microsoft Patch Tuesday

3 комментария

Первые впечатления от мартовского Microsoft Patch Tuesday

Первые впечатления от мартовского Microsoft Patch Tuesday. Довольно лихо, бодрит. 😈

1. Elevation of Privilege - Microsoft Outlook (CVE-2023-23397). Какая-то лютая жесть. 😱

"Уязвимость можно проэксплуатировать, отправив вредоносное электронное письмо жертве с уязвимой версией Outlook. Когда письмо обрабатывается сервером, может быть установлено соединение с устройством, контролируемым злоумышленником, что приведет к утечке Net-NTLMv2 хэша получателя письма. Злоумышленник может использовать этот хэш для аутентификации в качестве жертвы-получателя письма в NTLM relay атаке. Microsoft отмечает, что эта эксплуатация может произойти до того, как электронное письмо будет просмотрено в Preview Pane, а это означает, что для успешной атаки не требуется никакого взаимодействия со стороны жертвы-получателя письма."

Ничего себе EoP! 😄 Существует функциональный эксплоит и есть признаки эксплуатации в реальных атаках.

2. Security Feature Bypass - Windows SmartScreen (CVE-2023-24880). Обходят функциональность Mark of the Web (MoTW). Пишут, что Microsoft Office доверяет документам с MoTW, а значит эта уязвимость упростит распространения малварей. Существует функциональный эксплоит и есть признаки эксплуатации в атаках.

3. Remote Code Execution - HTTP Protocol Stack (CVE-2023-23392). Позволяет атаковать Windows Server 2022 с включенным HTTP/3 и buffered I/O. Тут хотя бы пока без эксплоитов и атак.

4. Remote Code Execution - ICMP (CVE-2023-23415). Послал фрагментированный IP пакет на уязвимый таргет - получил на нем RCE. Пока в теории, но если это действительно будет так жестко, то мало не покажется.

Драфт Vulristics-отчета: https://avleonov.com/vulristics_reports/ms_patch_tuesday_march2023_report_with_comments_ext_img.html
Вроде выглядит прилично, думаю финальный будет выглядеть +- также, только комментариев прибавится.

Небольшое обновление Scanvus для сканирования Linux-хостов по SSH

Добавить комментарий

Небольшое обновление Scanvus для сканирования Linux-хостов по SSH. Теперь Scanvus может аутентифицировать не только ключом

$ python3 scanvus.py --audit-service "vulners" --assessment-type "remote_ssh"  --host "192.168.56.105" --user-name "vmuser" --key-path "/home/alexander/.ssh/id_rsa.pub"

но и просто по паролю

$ python3 scanvus.py --audit-service "vulners" --assessment-type "remote_ssh"  --host "192.168.56.105" --user-name "vmuser" --password "vmuser"

Иногда так проще и быстрее.

Про дипломные проекты в ВУЗах

Добавить комментарий

Про дипломные проекты в ВУЗах. Недавно спрашивали про актуальные темы для диплома в области ИБ.

Имхо, самые классные дипломные проекты получаются, когда студенты пишут о том, чем на работе уже занимаются. Так и работа продвигается, и текст можно в документации переиспользовать (или наоборот из существующей документации взять), и новизну с полезностью проще обосновать.

Если это не вариант, то можно дипломный проект воспринимать как инструмент для последующего трудоустройства. Смотрим на рынок - ищем "компанию мечты", выясняем чем они занимаются, выбираем тему из того, что хорошо будет смотреться на будущем собесе. 😏 Допустим компания это вендор какого-то продукта по ИБ, в разработке которого нам было бы интересно поучаствовать. Собираем проблемы/тренды для этого класса продуктов (для VM-а недавно скидывал) и попытаемся предложить для какой-нибудь из проблем свое решение. Такой дипломный проект это отличная тема для разговора на собесе (важно: даже если про тему диплома написано в резюме, не забудьте голосом акцентировать внимание на этом!). Будете выглядеть уже не как "белый лист", а как специалист с некоторым практическим опытом, который может приносить пользу практически с первого дня. Это дорогого стоит. Ну и в процессе подготовки дипломного проекта неизбежно прокачаетесь в нужную сторону. 😉

Брать тему совсем с потолка или переделывать чужой диплом про мясокомбинат с помощью ChatGPT не советую. 🙂 Конечно, может и такое прокатить, но польза от этого всего будет минимальная.

Сюрприз в обновлениях прошивок принтеров от HP

Добавить комментарий

Сюрприз в обновлениях прошивок принтеров от HP

Сюрприз в обновлениях прошивок принтеров от HP. Наглядная демонстрация того, что вендор может привнести с обновлениями любую функциональность, даже совершенно нежелательную для пользователя. В принтерах HP с 2016 года используется функция динамической безопасности, позволяющая отличать родные картриджи HP от совместимых картриджей сторонних производителей. Раньше при использовании неродных картриджей просто показывалось предупреждение, а теперь, после недавнего обновления прошивки, стала полностью блокироваться работа устройств. Все с заботой о пользователе, "для защиты качества клиентского опыта". 😏

Совсем не обновлять прошивки устройств я, конечно, посоветовать не могу (см. уязвимость Lexmark). Но стоит внимательнее подходить к выбору устройств, учитывая возможность и таких финтов.