Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла

Добавить комментарий

Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла. На самом деле ещё 2 дня назад, но только сейчас дошли руки посмотреть и разметить. Отдельно выделил фрагменты, где, имхо, * самое огнище 🔥. Приглашаю заценить полностью или частично. Также посмотрите мои впечатления по мероприятию, если не читали.

Часть 1
* 1:05 - 2:32 Управление мисконфигурациями и управление уязвимостями, можно ли делать в рамках одного процесса? Леонов
* 2:32 - 3:45 А уязвимость процесса это часть VM? Какая функциональность входит в VM? Можно ли отталкиваться от функциональности САЗ? Родыгин, Леонов
* 3:45 - 6:15 А есть ли устоявшаяся терминология в VM? Пример: что такое Compliance Scan? Assessment и Mitigation plan. Ермаков
6:20 - 6:38 Smart Install в Cisco это уязвимость или мисконфигруация? Хлапов
6:42 - 7:34 Vulnerability, Weakness и Misconfiguration. О доверии экспертному мнению. Кузнецов
7:53 - 9:44 Уровни уязвимостей. Мисконфигурации это уязвимости. Волчков
* 10:12 - 14:53 А всякая ли небезопасная настройка приводит к уязвимости? На примере CIS Benchmarks. Нам нужны более лучшие стандарты. Кузнецов, Волчков, Леонов, Ермаков
14:55 - 15:44 Реализуемость уязвимости для конкретной системы. Родыгин
* 16:15 - 22:37 Трендовые эксплуатируемые уязвимости. Кузнецов, Леонов, Хлапов, Ермаков, Родыгин
22:50 - 26:27 Стандарты и требования по безопасной конфигурации: регуляторные и корпоративные. Волчков
* 26:27 - 27:55 Требования по управлению уязвимостями. Методичка по управлению патчами и уязвимостями для MaxPatrol на 300 страниц. Кузнецов
28:00 - 29:30 Стоит ли вообще устранять уязвимости? Родыгин, Волчков
29:30 - 52:58 Стоит ли устранять все уязвимости? Кузнецов, Леонов, Ермаков, Волчков, Хлапов, Родыгин
* -> 29:30 - 30:33 Не стоит устранять все, фокусироваться на детекте и реагированием на действия злоумышленника. Кузнецов
* -> 30:41 - 36:16 Нужно исправлять все уязвимости, если вы доверяете вендору. Леонов. Оппонируют Ермаков, Кузнецов, Родыгин
-> 36:16 - 36:55 Уязвимости могут становиться нереализуемыми из-за изменения архитектуры. Родыгин, Кузнецов
-> 36:55 - 38:41 Нужно ли оценивать реализуемость? Родыгин - да, Кузнецов - нет
-> 38:41 - 39:47 Все патчить невозможно. Хлапов, Родыгин
* -> 39:47 - 41:15 А почему нам больно патчиться? Леонов
-> 41:30 - 42:41 Пример кейса, когда патчиться не вариант. Кузнецов
-> 42:41 - 44:06 Переконфигурирование как способ ремедиации. Волчков
-> 44:06 - 47:07 Архитектурные изменения лучше патчинга. Родыгин. Оппонирует Кузнецов
* -> 47:07 - 48:19 Комментируем результаты опроса. Леонов, Родыгин, Волчков
-> 48:50 - 50:51 Автоматическая приоритизация на основе сетевых сегментов и ассетов. Хлапов, Кузнецов
* -> 50:51 - 52:58 Патчить нужно всё, потому что хорошая качественная сетевая сегментов это иллюзия. Ермаков

Итак, вы решили начать разработку своего Vulnerability Management решения

3 комментария

Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 1. Подводные камни.

Где-то с периодичностью раз в полгода ко мне приходят из какой-нибудь компании и говорят: "мы хотим разрабатывать свое решение по Управлению Уязвимостями как у ZZZ, расскажи что как и не хочешь ли поучаствовать?" Я на это обычно не то, чтобы отговариваю, но стараюсь подсветить сложности. Кажется пора уже это сформулировать в виде текста. Думаю будет полезно и тем, кто хочет запилить самописный VM в конкретной организации.

1. Основная сложность для вката в VMный рынок в устоявшемся ожидании, что VM решения должны детектировать уязвимости вообще во всем: все ОС (Linux дистрибы, Unix-ы, Windows, MacOS), все third-party софты для этих ОС, ERP, базы данных, разнообразнейшие сетевые устройства, любые технологии виртуализации и прочее. Все, что может встретиться у заказчика должно быть покрыто этим VM решением. Причем не только при сканировании с аутентификацией, но и без. И желательно ещё и смежные области тоже зацепить: AppSec DAST/SAST, DevOps, облака, IOT, SCADA, встраиваемые системы. Это даже не конкурентные преимущества, это база, нижняя планка для входа в рынок, что-то само собой разумеющееся.
2. Естественно абсолютного покрытия быть не может. Но если ожидания клиентов не будут биться с реальностью, если это будет заметно, особенно если в результате расследования инцидента, то маркетинговая иллюзия рухнет. Как и позиции вендора. Поэтому VM вендоры очень стараются соответствовать. Хотя бы для текущих и потенциальных заказчиков.
3. Необходимость покрытия всего значит, что вам, новому игроку, придется скопировать кадровую структуру больших VM вендоров. То есть под каждое направление из п.1. завести отдел как минимум из 2-3 человек. Они будут на фулл-тайме ресерчить где можно получить данные по уязвимостям для конкретных систем, как для этих систем устроен патчинг, будут писать проверки и автоматические генераторы проверок, тестить, что ничего не отъехало, дорабатывать при необходимости. Работа непростая, специфическая. Сам года 3 этим занимался. Людей под это нужно много ещё и с учётом того, что нужно догнать существующих VM вендоров с их десятками и сотнями тысяч проверок.
4. Всех этих людей нужно кормить. Откуда денег столько взять? Это подводит нас к тому, что конечное решение будет стоить дорого. Невозможно поддерживать такое хозяйство продавая безлимитный а-ля Nessus Professional за $3k в год. Это уже из серии демпинга. Вот продавая а-ля Tenable SC крупным компаниям с лицензированием по хостам - уже можно жить.
5. Такие продукты сами себя не продают. Поэтому также придется завести армию сейлов, пресейлов и маркетологов. А работа последних во многом и привела к ситуации из п.1, когда все с покерфейсом пытаются соответствовать невыполнимым требованиям при этом отмахиваясь, что качество детектирования это ерунда, не нужно на это обращать внимание, лучше на дашборды наши посмотрите. 🙂

В общем, невероятный вывод: чтобы делать полноценный VM нужно обладать командой и ресурсами как у Tenable, Qualys, Rapid7, Positive Technologies. 🙂 Ну или хотя бы как у Altx-soft, Secpod, Outpost24, F-Secure.

Или же следует переформулировать задачу. Если пост зайдет по лайкам и репостам, то в следующих частях рассмотрим на примерах как именно можно переформулировать задачу, чтобы успешно вкатиться в около-VMный рынок со сравнительно небольшими ресурсами и на чем в VM-е можно попробовать срезать углы.

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло

Добавить комментарий

В полку Linux уязвимостей позволяющих поднять привилегии до root-а прибыло. Встречаем DirtyCred (CVE-2021-4154 - февральская, есть PoC; CVE-2022-2588 - свежая, пока нет PoC-а). 8 лет уязвимость никто не замечал. Или замечали и использовали, но помалкивали. Естественно NVD как обычно тормозит и там нового идентификатора пока нет, но он во всю используется в бюллетенях безопасности.

Судя по описанию это уязвимость ядра, похожая на мартовскую Dirty Pipe (CVE-2022-0847), только круче, т.к. работает стабильнее:

"The novel exploitation method, according to the researchers, pushes the dirty pipe to the next level, making it more general as well as potent in a manner that could work on any version of the affected kernel."

И контейнеризация не спасает:

"Second, while it is like the dirty pipe that could bypass all the kernel protections, our exploitation method could even demonstrate the ability to escape the container actively that Dirty Pipe is not capable of."

Ну и так-то уязвимости позволяющие получить в Linux root-а появляются достаточно регулярно. Из громких можно ещё вспомнить Dirty Cow (CVE-2016-5195 - обалдеть 😱, 6 лет назад, помню как вчера как тестил) и Qualys-овские PwnKit (CVE-2021-4034) и Sequoia (CVE-2021-33909).

А что делать? Имхо, патчить. Лучше в рамках регулярного процесса, а не в пожарном режиме. Но если регулярного патчинга Linux-ов нет, то лучше разово обновиться, махая этой уязвимостью (или даже более старыми с публичными эксплоитами) как флагом. После разового упражнения будет видно какие есть проблемы с внедрением регулярного процесса, а где-то возможно получится его внедрить с наскока.

Ну или можно не патчить, обосновывая тем, что оно (вроде) не эксплуатабельно, а где эксплуатабельно, то там не критично или туда не доберутся. И из контейнера не выберутся. И вообще можно внедрить EDR на линуксах. И ещё можно попробовать мандатку настроить.

Но, имхо, оценка эксплуатабельности, харденинг и внедрение СЗИ для Linux-ов это конечно все замечательно, но основное это патчинг и прежде всего нужно разобраться именно с ним.

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday

Добавить комментарий

Записал традиционный расширенный вариант отчета по августовскому Patch Tuesday. Кратко и на русском было здесь.

И ещё по поводу интервью Натальи Касперской

Добавить комментарий

И ещё по поводу интервью Натальи Касперской. Там был такой тезис: "смартфоны нам массово заблочат, но не беда - продолжим пользоваться кнопочными телефонами, выживем". С одной стороны это конечно правда, телефоны без ОС недружественному вендору контролировать сложнее. Но тут стоит обратить внимание, что не во всех кнопочных телефонах, а корректнее называть это "фичафонами", нет ОС. Сейчас уже скорее наоборот. Например, в KaiOS, успешном форке Firefox OS, есть и браузер, и приложения, и магазин приложений. Эта OC используется в современных телефонах Nokia от HMD Global и много где ещё. KaiOS Technologies между прочим калифорнийская. Так что хоть и есть кнопки, а проблемы +- как со смартфонами. С другой стороны и в телефонах без ОС могут быть всякие сюрпризы. Вот например мой прошлогодний пост:

——

"На хабре прикольная статья про недекларируемые возможности кнопочных телефонов, которые продаются российском ретейле. Все сводится к тому, что телефоны могут самостоятельно сливать какие-то данные по СМС или подключаясь через интернет (GPRS):

1. Сообщать о факте покупки
2. Сообщать об использовании телефона передавая IMEI телефона и IMSI SIM-карт
3. Отправлять платные сообщения на короткие номера, загружая необходимый текст с сервера
4. Пересылать входящие смс на сервер злоумышленника

От формфактора это конечно не зависит и такие же (и даже большие) проблемы могут быть в смартфонах, особенно OEM-ных и в нижнем ценовом сегменте, потому что там точно никто не заморачивается проверками. Просто считается, что раз в простой звонилке нет ОС и забекдоренных приложений, то это автоматически означает бОльшую безопасность устройства. И это во многом справедливо. Например когда второй фактор в виде смс приходит на отдельное устройство (опустим тему настолько смс вообще адеватен как второй фактор), то перехватить его зловреду на смартфоне становится невозможно и популярный вектор атак закрывается. Ну вот как показывает практика и в прошивку можно засунуть всякие интересные злоумышленниках штуки.

Что делать? Видимо действительно не брать совсем уж noname в сомнительных магазинах. Звонилка от Nokia (уже китайской, но все ещё большой) купленная в магазине крупной сети должна быть относительно безопасна.

В целом же это такая вульгарная вариация атаки на цепочку поставок. И решения должны быть примерно схожими."

——

В текущих реалиях все же очень желательно, чтобы такое устройство было спроектировано и произведено в России. Только это делает его насколько возможно доверенным. Кажется в эту сторону Касперские сейчас и работают. По моему мнению за это вполне имеет смысл переплачивать. И какие-то функциональные ограничения устройства на фоне существующих угроз уже перестают играть существенную роль, а возможно даже в плюс идут.

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость

2 комментария

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость. "Смартфоны в России могут быть заблокированы". Да неужели. Конечно могут! Странно предполагать, что если вы сами можете зайти на сайт Google или Apple, авторизоваться и заблочить свой потерянный/украденный смартфон/планшет, то вендор не сможет сделать то же самое по своему усмотрению и в любое время. Более того, если устройство стучится до каких-либо сервисов вендора (а оно стучится), это вполне может быть каналом скрытого управления и в т.ч. для блокировки. И с устройствами под Windows/MacOS та же история. Может только с Linux чуть получше, хотя относительно самых популярных и распространенных дистрибов я бы не стал утверждать с уверенностью. Даже до тех хостов, которые не в сети теоретически можно добраться через обновления и добавить зловредную функциональность с отложенной активацией а-ля олдскульный вирус «Чернобыль» (Virus.Win9x.CIH). Пади проверь, чего они там проносят в сотнях патчей каждый месяц. А уж сколько может быть закладок, через который можно будет проломить периметр организаций. Дух захватывает!

Короче, на случай серьезного кибер-конфликта, дело будет дрянь. Как минимум от краткосрочного эффекта мы все точно офигеем. То, что сейчас мы этого пока ещё не наблюдаем можно объяснить лишь тем, что эскалация не дошла до нужного уровня. Но то, что зарубежные недружественные вендоры, когда будет нужно, прогнутся и бахнут - вообще без вопросов. Поэтому обсуждение отечественных ОС, в том числе мобильных, или ОС дружественных стран конечно может восприниматься с некоторым скепсисом, но вообще это дело стратегически правильное и нужное, и респект тем, кто в разработке этих штук задействован.

Ну и само интервью кстати вполне годное. Хорошо сказано про сложность поиска закладок, про ограничения сертификации, про 30 лет всеобщего внедрения иностранного ПО, в т.ч. в образовании. А про смартфоны там буквально несколько слов в самом конце, с 14:46. 🙂

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 - National Defense Authorization Act for Fiscal Year 2023"

1 комментарий

У Алексея Лукацкого сегодня был интересный пост про "H.R.7900 - National Defense Authorization Act for Fiscal Year 2023". Длиннющий документ. Местами видимо интересный. Если в PDF выгружать, то там 3854 страницы. Слово "Russia" там встречается 281 раз. Солидно. 🙂 "China" только 130 раз.

Алексей Викторович обратил внимание, что теперь согласно "SEC. 6722. DHS SOFTWARE SUPPLY CHAIN RISK MANAGEMENT." контракторам Department of Homeland Security (DHS) придется собирать зависимости их продуктов в "bill of materials" и доказывать сертификатом, что ни в одной из зависимостей нет ни одной уязвимости из NVD. Не то, что там критичных уязвимостей нет, а вообще никаких CVE нет!

Практика занимательная. Учитывая с какой скоростью выходят новые уязвимости это получается, что по-хорошему нужно будет постоянно пересобирать продукт и тестить, что ничего не разъехалось, чтобы к моменту сертификации быть максимально свеженькиими и неуязвимыми. Сомневаюсь, что кто-то реально сможет честно пройти такую сертификацию буквально так, как это написано. Но если да, было бы интересно посмотреть на этих монстров разработки, тестирования и автоматизации. 🙂 Хотя по сути так было бы правильно.

Ну и там вроде не конкретизировано кто и как именно должен процедуру сертификации проводить, так что могут быть нюансы. 😏

Но меня больше зацепило, что там речь идет не только об NVD, но и

"(B) any database designated by the Under Secretary, in coordination with the Director of the Cybersecurity and Infrastructure Security Agency, that tracks security vulnerabilities and defects in open source or third-party developed software."

Это что такое? Это просто вставочка на будущее, типа вдруг когда-нибудь сделают ещё какую-нибудь базу? Или есть какая-то ещё база уязвимостей Open Source софта разработанная DHS и CISA, которая не в паблике? Загадочно. 🙂

PS: Надо бы тамошним законодателям рассказать, что у каждого item в "bill of materials" могут быть свои зависимости, и в этих зависимостях могут быть (и есть) уязвимости, а для самого item-а в NVD об этом никакой информации не будет. Как не было отдельной CVE под каждый софт уязвимый Log4Shell. Даешь "bill of materials" для каждого item-а и тотальный разбор этой адской матрешки! Муа-ха-ха! 😈