Антифишинг и Управление Уязвимостями

5 комментариев

Антифишинг и Управление Уязвимостями. Возвращаясь к обзору рынка Vulnerability Management систем от Anti-Malware, наибольший интерес у меня вызвал вендор Holm Security.

1. Раньше я о них не слышал. Из шведских VM-щиков я знал и общался только с Outpost24 . А тут оказывается есть ещё один шведский вендор, да ещё и существует с 2015 года. Круто!
2. Основная их фишка в том, что они совместили в одно решение Антифишинг и Управление Уязвимостями. 🤯 Очень необычно. Это меня особенно порадовало, т.к. на работе я как раз занимаюсь и Управлением Уязвимостями, и Антифишингом. 😅 Так сложилось. О нашей системе антифишинга был доклад на прошлом Offzone (презентацию готовил я, а докладывал Павел Жерелин). Так вот, мне всегда казалось, что Антифишинг это для меня непрофильная нагрузка. А оказалось, что в Holm Security всерьез позиционируют Антифишинг как часть VM-а. "Благодаря Next-Gen подходу [Vulnerability Management] платформа борется со всеми векторами атак, которым подвергается организация, включая защиту одного из самых важных активов — ваших сотрудников". Если сотрудники попадаются на фишинг, то это тоже своего рода уязвимость, которая исправляется обучением и другими мероприятиями. Согласитесь, довольно нестандартный подход. Так что теперь при случае могу говорить, что занимаюсь VM-ом не только для IT-инфраструктуры, но и для людей. 😁

Я, конечно, сомневаюсь, что в Holm Security действительно считают Антифишинг такой уж неотъемлемой частью процесса Управления Уязвимостями. Вероятнее, что у них были эти 2 решения в портфеле и их маркетологи решили, что они будут эффективнее продаваться в рамках одной платформы. Ну и подвели некоторую базу под это. Однако, если в эту тему поиграться, то действительно можно сделать некоторые занимательные выводы и для Антифишинга, и для Управления Уязвимостями.

Смотрим на Антифишинг с точки зрения Управления Уязвимостями:
1. Если актив уязвим (сотрудник попался), то должен быть ответственный за актив, который сделает фикс. А кто этот ответственный? Видимо это непосредственный руководитель сотрудника, который должен был проводить инструктаж. И спрашивать нужно в первую очередь с него, а не с попавшегося человека.
2. Если в VM мы стремимся к полному покрытию IT-активов, то Антифишинг не должен быть выборочным, а должен покрывать всех сотрудников.
3. Если в VM мы не проверяем активы только на одну уязвимость, а стараемся проводить проверки для всех возможных уязвимостей, то и Антифишинг должен касаться разнообразных техник и психологических манипуляций, с которыми может столкнуться сотрудник в реальной фишинговой атаке.

Смотрим на Управление Уязвимостями со стороны Антифишинга:
1. Если в Антифишинге мы предлагаем попавшемуся сотруднику пройти обучение по ИБ, почему бы не назначать курс по ИБ для владельца уязвимого актива? Пусть разбирается почему обновляться это важно.
2. Если в Антифишинге мы ограничиваем доступ к входящем письмам тем сотрудникам, которым обучение не помогает, то почему бы не ограничивать работу владельцам уязвимых активов, которые не справились с поддержанием их в безопасном (обновленном) состоянии? Показал, что не можешь полноценно владеть активом и обучение не помогло - теряешь доступ к этому активу, пусть более ответственные люди за него отвечают.

Т.е. возможно подводить Управление Уязвимостями и Антифишинг под некоторый общий базис это не такая бредовая идея, как может показаться на первый взгляд. 🙂

Сколько нужно VM-щиков, чтобы поменять лампочку?

Добавить комментарий

Сколько нужно VM-щиков, чтобы поменять лампочку? Андрей Прозоров спрашивает про ИБ-шников, но я за них за всех не скажу, поэтому давайте сфокусируемся на решении задачи именно с точки зрения Управления Уязвимостями.

Для начала нужно понять, а какую задачу мы решаем. Нас волнует именно эта конкретная лампочка в этом конкретном месте или проблема шире: лампочки перегорают, их вовремя не заменяют, это создает угрозы, которые требуется минимизировать. Если первое, то достаточно одного письма в АХО (Административно-хозяйственный отдел) от сотрудника, которого бесит перегоревшая лампочка, этим сотрудником может быть VM-щик. Возможно потребуется ещё одно письмо через пару дней для эскалации. Если второе, то нужно строить нормальный процесс, вернее даже несколько связанных процессов:

1. Инвентаризация и аудит состояния (в первую очередь светимости). Мы вообще понимаем сколько у нас лампочек в организации, где они расположены, какого они типа, какой у них ресурс, какой регламент по их замене? Если нет, то это нужно собирать и поддерживать в актуальном состоянии (проверять, что в данных нет аномалий). В качестве исходных данных можно взять планы помещений, информацию по закупкам и остаткам на складе. Аудит может представлять собой периодический поэтажный обход, а возможно есть и более продвинутые способы мониторинга. Возможно в компании используются smart-лампочки, к которым можно относиться как к части IT-инфраструктуры? А возможно перегоревшие лампочки можно детектировать через анализ изображения с камер? Вариантов может быть много, нужно обсуждать с IT и АХО. VM-щик здесь должен быть заинтересован в первую очередь в том, чтобы процессом были покрыты все лампочки во всех помещениях (и во всех филиалах).

2. Агрегация данных и исправление. Сырые данные о состоянии лампочек нужно собирать, обрабатывать, заводить задачи на исправление на ответственных (у разных лампочек в разных локациях могут быть разные ответственные), отслеживать статус задач на исправление, при необходимости эскалировать (нужно понимать на кого и как именно). VM-щик здесь должен быть заинтересован в том, чтобы не было перегоревших лампочек без задач по исправлению, не было задач без ответственных и чтобы задачи выполнялись в срок. Идеально было бы, чтобы у ответственных за лампочки был регламент по контролю и плановой замене. Тогда и задачки бы закрывались сами или даже не заводились бы. Но это требует внедрения такого регламента и применение штрафных санкций за его невыполнение.

3.* Приоиритизация и применение компенсирующих мер. По мне если лампочка перегорела - она должна быть оперативно заменена. Но есть разные взгляды на этот вопрос. Например, лампочки могут перегорать слишком быстро и их будут не успевать менять. Как по мне, то это вопрос к инфраструктуре и архитектуре, почему нам так сложно лампочки заменять? Нормально ли это вообще? Но есть мнение, что нужно наоборот смириться с обстоятельствами и заменять лампочки только там где это ДЕЙСТВИТЕЛЬНО НУЖНО. Там, где люди уже ноги ломали, нужно менять в первую очередь, а там где просто мигать начала или из трех одна пока светит, менять во вторую очередь или вообще не менять. В принципе это также можно учитывать в заведении тасков. VM-щик здесь должен принимать во внимание кучу факторов о локациях и лампочках, чтобы ставить в приоритет к исполнению именно то, что требуется в первую очередь. Но как по мне, лучше этой ерундой не заниматься вовсе, если есть такая возможность.

Можно ли покрыть эти процессы одним человеком? Можно, но он будет постоянно переключать контекст, будет малоэффективно. Лучше чтобы это были разные люди, которые бы специализировались и целиком отвечали за свою часть работы. Т.е. от 2-3 человек, затем увеличивать при необходимости. 🙂

Positive Technologies открыли прием заявок на стажировку для студентов ИБ-шников третьего курса или старше

1 комментарий

Positive Technologies открыли прием заявок на стажировку для студентов ИБ-шников третьего курса или старше. Заявки принимаются до 27 февраля, а занятия начнутся 6 марта.

1 этап. Лабораторки, знакомство с продуктами компании. 1,5 месяца.
2 этап. Интенсивы по специализациям. 3 недели.
3 этап. Оплачиваемая стажировка в подразделениях компании для лучших студентов. До конца июня.

Занятия онлайн, 20 часов в неделю. По нагрузке, конечно, жестковато, но выглядит как крутая тема, чтобы прокачаться и успешно трудоустроиться.

Что я об этом думаю.

Первое место работы/стажировки это очень важно. Зачастую это закладывает дальнейший вектор развития. Если бы я сразу после Бауманки не попал в Positive Technologies в команду разработки базы знаний MaxPatrol 8, то и никакого "Управления Уязвимостями" в моей жизни не было бы. А так получилась прикольная рабочая история длиною 6,5 лет и хорошая база на будущее. Очень благодарен PT за это. 😇

Насколько могу судить, у многих так. Кто с чего стартовал, тот на том в итоге и специализировался. Те, кто по каким-то причинам начали путь не в ИБ (в IT-администрировании, программировании, QA и т.д.), как правило, ИБ-шниками не стали. И не скажу, что это плохо. Но, имея ИБшный диплом, не использовать его в качестве конкурентного преимущества на рынке труда довольно странно. Особенно на фоне того с каким трудом в ИБ пытаются пробиться люди без профильного образования.

Советую тем, кто будет принимать участие в стажировке в PT (да и в любом ИБ-вендоре), с самого начала присмотреться что в компании есть интересного лично для вас, чем вам хотелось бы заниматься, какие знания у вас уже есть для этого, какие знания вам нужно для этого получить. Если вы в этом сами для себя разберетесь и начнете это как-то артикулировать, то уже будете сильно выделяться на общем фоне тех, кто "может копать, может не копать".

У студентов часто есть такой взгляд "хочу в offensive, хочу в pentest" или "хочу в SOC, хочу злодеев ловить". Да, темы модные и в PT это есть. И пентесты, и разнообразный ресерч, и SOC. Но ещё есть и очень крутые команды разработки: Vulnerability Management (и куча направлений по поддерживаемым системам внутри), SIEM, SAST/DAST/IAST, WAF, NGFW, XDR и т.д. Если туда попадете, то будете в деталях понимать как эти штуки работают изнутри. Это уникальный востребованный опыт, который нигде как ИБ-вендоре не получишь.

Кроме того, нужно понимать что ситуация с ИБ продуктами в РФ стремительно меняется. Ещё лет 5 назад было достаточно справедливо сказать, что российские ИБ решения это для госов и около-госов, а все остальные используют зарубежные решения. Теперь идет массовый переход на продукты отечественных ИБ-вендоров (в том числе PT). И тут вы с опытом не только эксплуатации продукта, но и глубокими знаниями как продукт изнутри работает ("Использовал? Ха, да я его сам разрабатывал!"). Смекаете перспективы? 😉

В общем, если вы студент, подумайте над программой стажировки в PT. Если у вас есть знакомые студенты ИБ-шники, перешлите это им.

Про недавнюю RCE уязвимость в Webkit (CVE-2023-23529) и браузерные RCE уязвимости вообще

Добавить комментарий

Про недавнюю RCE уязвимость в Webkit (CVE-2023-23529) и браузерные RCE уязвимости вообще.

Описание CVE-2023-23529 довольно типовое. "Обработка вредоносного веб-контента может привести к выполнению произвольного кода. Apple известно об отчете сообщающем о том, что эта проблема могла активно эксплуатироваться". Бюллетени для iPhone/iPad и macOS Ventura. Для iPhone/iPad эта уязвимость затронет не только Safari, ни и вообще все доступные браузеры, т.к. Apple принуждает всех разработчиков использовать единый "rendering framework".

Критичны ли такие браузерные уязвимости? Конечно. Заставить пользователя перейти по ссылке, например через фишинг, дело достаточно тривиальное. Отличный путь для получения первоначального доступа. И если браузер не обновлен, тут только на EDR надежда.

С обновлением всё неоднозначно. Некоторые инсталляции по большей части обновятся сами, такие как Chrome и Firefox под Windows. Но не все. Для других всё упрется в процесс обновления ОС: Microsoft Edge, Safari, Linux-овые браузеры поставленные из репозитория. Возни немало.

Соблазнительной выглядит идея запретить использование любых браузеров, кроме одного выбранного, контролируемого и обновляемого централизованно. 😈 Респект тем, кому удалось такое провернуть. 👍 Но исключения все равно придется предусматривать, как минимум для дизайнеров/разработчиков/qa, которым важно тестить работоспособность своих поделий в нескольких браузерах. Фактор разнообразного легаси, работающего только с определенными браузерами (и зачастую определенными их версиями) тоже исключать нельзя. А отсюда дополнительная операционная нагрузка. И с чем будет больше возни - с обычными обновлениями или запретами/исключениями не очевидно.

В общем, успехов нам всем с фиксом CVE-2023-23529 и прочих бесконечных веб-браузерных радостей. 🙂

Февральский Microsoft Patch Tuesday

2 комментария

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. Общее впечатление теперь буду сразу выдавать, с пылу с жару, а причесанный блогопост/видяшку с задержкой.

1. Наиболее критичным выглядит RCE - Windows Graphics Component (CVE-2023-21823). Причем ZDI отметили эту уязвимость как EoP и не стали в свой обзор добавлять. Видимо MS поменяли тип уязвимости перед релизом. Будем надеяться, что EDR-ы оперативно начнут блокировать эксплуатацию.
2. EoP - Windows Common Log File System Driver (CVE-2023-23376) с признаком активной эксплуатации.
3. Пачка RCE для Exchange (CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710). Но пока без признаков эксплуатации.
4. Из курьезного Inf. Disclosure в устройствах дополненной реальности HoloLens 1 (CVE-2019-15126), старая уязвимость Broadcom с кучей эксплоитов.

Выкладываю сырой Vulristics-отчет. Там есть проблемы с детектами софтов, но вроде не критично, пофикшу позже.

Бауманская искра

1 комментарий

Бауманская искра. Из ностальгических побуждений изредка посматриваю, как там дела в МГТУ на ИУ8 (и других ИБ-шных кафедрах). Как там нам будущих коллег готовят. 😉

Оказывается интересная движуха идёт. Узнал, что в Бауманке не первый год работает InfoSec Club "Ra" aka ISCRA. Название классное. 🙂☀

"ISCRA — это сообщество студентов, преподавателей и просто людей, желающих получать самые актуальные знания в различных сферах IT и ИБ.

Своими силами мы стараемся улучшить актуальность преподаваемого материала в ВУЗе, помочь студентам реализовать их проекты и идеи, а так же популяризовать отдельные направления в отрасли."

Недавно как раз видеопрезентацию выложили. Милота. 😊 Организуют курсы по актуальным ИБшным направлениям, гостевые лекции, мастер-классы, обеспечивают менторство в проектах, проводят конференцию ISCRA Talks. Всё на безвозмездной основе. И, судя по формам записи на курсы, для участия быть студентом МГТУ необязательно.

Мероприятия, насколько я понимаю, в основном очные, без трансляций и записей (во всяком случае в паблике их не нашел). С одной стороны, смысл в этом есть - максимально живое общение и т.п. С другой стороны, в теперешние пост-ковидные удаленные времена это уже довольно сурово. 🙂

В общем, тема очень крутая и перспективная! 👍

Управление уязвимостями в новых реалиях

Добавить комментарий

Управление уязвимостями в новых реалиях. Крутой доклад по VM-ной теме с недавно прошедшего Инфофорума. Представлял доклад Андрей Никонов, старший инженер-программист из Фродекс (Vulns.io). Видео в паблике не нашел, но есть даже лучше - слайды с текстом выступления.

Выписал тезисно:

1. Зарубежные VM-вендоры ушли - нет детектов, IT-вендоры ушли - нет обновлений.
2. Атаки на российские компаний множатся, утечки ПД и оборотные штрафы.
3. Рост отечественного ПО -> рост проблемы анализа защищенности этого ПО -> "VM-решения должны уметь работать с операционными системами и программами российского происхождения".
4. В достаточной степени отечественные VM-решения поддерживают отечественное ПО? Непонятно. "Никто открыто не публикует списки поддерживаемых ПО и не дает внятных ответов по степени покрытия российского софта".
5. Необходимы данные об уязвимостях отечественного ПО.
5.1. Западные компании "публикуют уязвимости, найденные в своих продуктах, причем эти данные являются общедоступными, несмотря на то, что большая часть ПО является коммерческим".
5.2. "Данные NVD также являются общедоступными, содержат огромное количество уязвимостей, но для проведения точного аудита годятся мало. В основном из-за того, что они используют собственный формат данных, и в них не указаны правила, по которым можно определить, является ПО уязвимым или нет". -> Ага, детект по CPE-шкам это зло.
5.3. Все ли вендоры одинаково описывают свои уязвимости? Далеко не все. OVAL стал довольно популярным. Но этого недостаточно.
5.4. У нас хорошие источники это БДУ ФСТЭК и OVAL RedOS. "Остальные вендоры, если и публикуют свои данные, то в намного более расслабленном режиме – обычно это выглядит как лента новостей или запись в блоге. Это очень сильно усложняет их обработку. Более того, не все вендоры публикуют данные открыто, хотя некоторые из них готовы предоставить данные по запросу или в случае приобретения сертификата на техническую поддержку."
5.5. Для прикладного ПО из 65 вендоров в базе ФСТЭК 3 публикуют данные об уязвимостях. А в реестре российского ПО 16000 программных продуктов!
5.6. Одной БДУ ФСТЭК недостаточно, т.к. "не указываются правила применимости той или иной уязвимости, для сканирования использовать эти данные проблематично". Данные в БДУ могут добавляться с запаздыванием, данные не всегда актуальны. Напрямую от вендора было бы быстрее.
6. Итог: "обратить внимание разработчиков российского ПО на важность поиска уязвимостей в своих продуктах, и выпуска обновлений безопасности".
Просьбы к регулятору:
"- принять единый стандарт описания уязвимостей или разработать собственный
- обязать разработчиков ОС и ПО вести базы данных уязвимостей в соответствии с принятым стандартом
- оказывать содействие компаниям при организации мероприятий Bug Bounty при условии публикаций найденных уязвимостей в базу ФСТЭК"

В целом, огонь! 🔥 Как раз такие доклады от VM-вендора и хочется видеть. Конкретно про детект уязвимостей и как делать его лучше. Очень сильно перекликается с моими собственными мыслями по этому поводу. Хочется надеяться, что регулятор прислушается.