Важно ли, что именно у сканера уязвимостей "под капотом"?

Важно ли, что именно у сканера уязвимостей "под капотом"? На презентации Сканер-ВС 7 Александр Дорофеев поднял интересную тему сравнения подходов к детектированию уязвимостей. Поделюсь своим мнением:

🔹 Я видел много разных сканеров уязвимостей, и у меня сейчас нет предпочтений в том, как должна описываться логика детектирования уязвимостей. Глядя со стороны клиента, мне без разницы, что у сканера "под капотом": NASL/NSE/NucleiTemplates, SCAP/OVAL/NVD CPE Configurations, свои форматы описания логики на основе XML и YAML, любые таблички с версиями или произвольные скрипты. 🤷‍♂️

🔹Я даже не против, если для разных типов сканирования и/или разных типов активов будут использоваться различные подходы к детектированию. Вообще пофиг - хоть на таро гадайте. 🃏😏

Определяющим для меня является только одно - итоговое качество детектирования: чтобы количество ошибок первого и второго рода в результатах было минимальным. А как этого добивается VM-вендор - его проблемы.

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Добавить комментарий

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400). Уязвимость, исправленная в рамках майского Microsoft Patch Tuesday, касается компонента Desktop Window Manager. Это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. В случае успешной эксплуатации злоумышленник может поднять свои привилегии до уровня SYSTEM. Для уязвимости сразу были признаки эксплуатации вживую. Подробностей по атакам пока ещё нет.

Судя по секции Acknowledgements, эксплуатацию этой уязвимости обнаружили исследователи Microsoft Threat Intelligence Center. А они редко делятся подробностями. 🤷‍♂️ Придётся подождать, когда эксплуатацию уязвимости зафиксируют другие исследователи либо когда появится публичный эксплойт. Сейчас на GitHub есть один репозиторий с PoC-ом, но его работоспособность под большим вопросом. 🤔

Предыдущая активно эксплуатируемая EoP уязвимость в DWM Core Library (CVE-2024-30051) была устранена в мае прошлого года.

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

Добавить комментарий

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

🔹 Инвентаризациия хостов и расчёт уязвимостей в SV VM разнесены. Поэтому можно пересчитывать уязвимости без пересканирования.

🔹 В ходе инвентаризации с хостов собираются установленные продукты различного типа (CPE, Linux, Windows).

🔹 Детектирование уязвимостей сводится к сравнению установленных и уязвимых версий продуктов. Уязвимые продукты (CPE, Windows, Linux) описаны на одноименной вкладке карточки уязвимости. Их можно редактировать. ✍️👍

В описании уязвимого продукта задают:

🛍️ Для CPE: CPE ID, версии от и до, флажки "версия включена" и "исключение".

🛍️ Для Linux: данные по ОС (имя, код, версия), имя пакета и версию с исправлением.

🛍️ Для Windows: имя продукта (в т.ч. Service Pack), версию с исправлением и исправление (?).

Cработки по одному уязвимому продукту достаточно для детекта уязвимости. Установленные и безопасные версии видны на вкладках "Результаты" и "Рекомендации".

Казусы частно-государственного партнёрства в США

Добавить комментарий

Казусы частно-государственного партнёрства в США. 🙂 Некоторые моменты бывают настолько прекрасны, что хочется, чтобы они длились вечно. Как эта сегодняшняя перепалка Маска с Трампом. 🔥 Я там верю обоим. 😅

Есть мнение, что для наибольшей эффективности нужно всё по максимуму отдать на откуп частникам. В доказательство показывают пальцем на Маска. Дескать, какой молодец. За что ни возьмётся - всё процветает. И машины, и ракеты, и спутниковый интернет. С черепицей, туннелями, гиперлупом, роботами и мозговыми имплантами похуже. Но не суть!

Думаю, если ситуация будет развиваться в том же ключе (🙏), то нам продемонстрируют:

🔻 В чём феномен Маска и где там на самом деле бюджетные деньги, за счёт которых всё и крутится.

🔻 Как супер-эффективный частный подрядчик может начать выкручивать руки государству, если лишить его этих самых бюджетных денюжек.

Хотя, думаю, до вывода из эксплуатации Dragon и отключения Starlink дело не дойдёт и Маска утихомирят. 🤷‍♂️

Эшелон представили сканер уязвимостей Сканер-ВС 7

Добавить комментарий

Эшелон представили сканер уязвимостей Сканер-ВС 7. Они продолжают двигать собственный подход к детектированию уязвимостей:

🔸 достают версии продуктов с хостов (в т.ч. в формате cpe);
🔸 затем ищут уязвимости по этим версиям в своей базе (включающей, например, всю базу NIST NVD).

У такого подхода есть достоинства и недостатки. 😉 Но всё зависит от конкретной реализации.

На какие новые фичи Сканер-ВС 7 стоит обратить внимание:

🔹 Новая редакция Enterprise (от 256 IP) с расширенной экспертизой в части проверок мисконфигураций и с возможностью создавать пользовательские базы уязвимостей и мисконфигураций (проверки конфигураций описываются на YAML).
🔹 Проверки мисконфигураций на основе CIS-бенчмарков.
🔹 Поддержка EPSS и CISA KEV.
🔹 Галочки для указания в какой базе искать (например, только в базе Астра или БДУ).
🔹 Импорт SBOM (CycloneDX).

Старт продаж в августе.

Вчера в офисе Positive Technologies прошли ИТ-посиделки

Добавить комментарий

Вчера в офисе Positive Technologies прошли ИТ-посиделки. Это закрытое мероприятие для комьюнити выпускников PT-шных практикумов. В неформальной обстановке авторы курсов рассказали о том, как и с какой целью готовились учебные материалы, а слушатели дали обратную связь: что было наиболее ценно, а что можно было бы улучшить.

От практикума по Управлению Уязвимостями выступал я и Олег Кочетов. Очень приятно было услышать позитивные отзывы, как коллеги-выпускники применяют полученные знания в работе и как им это помогло в карьерном росте. 😇 Предложения по улучшению тоже зафиксировали и взяли в работу. 🙂 Кулуарно про реалии VM-ного рыночка тоже посплетничали - куда ж без этого. 😉

➡️ Следующий набор на VM-ный практикум стартует уже 9 июня, до пятницы можно успеть зарегистрироваться. Я буду участвовать в вебинарах в рамках курса и отвечать на вопросы участников. 😉

Грядёт МАКСимизация?

Добавить комментарий

Грядёт МАКСимизация? Новость про мессенджер MAX от VK. На встрече с президентом министр цифрового развития Максут Шадаев рассказал об успехах российских интернет-сервисов. У нас всё хорошо с видео, электронной коммерцией, соцсеточками, ИИ. Но про мессенджеры так не скажешь (все в ТГ сидят 😏). Хотя в других странах успешно развиваются свои национальные мессенджеры. А у VK как раз появился мессенджер на новой платформе, которая позволяет интегрировать всякие государственные и финансовые сервисы. Ведь интегрировать их в иностранные мессенджеры неправильно.

На это президент дал поручение: "Руководителям всем ведомств правительства целенаправленно организовать работу по поддержке отечественного мессенджера. А для этого услуги, которые предоставляют различные ведомства, финансовые учреждения и т.д. нужно переводить на эту платформу. Это чрезвычайно важно."

Высочайшая протекция оказана. Посмотрим, к чему это приведёт.

Я пока больше всего жду появления в MAX-е каналов. 🙂

Александр В. Леонов

Управление Уязвимостями и прочее

Важно ли, что именно у сканера уязвимостей "под капотом"?

Про уязвимость Elevation of Privilege - Microsoft DWM Core Library (CVE-2025-30400)

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

Казусы частно-государственного партнёрства в США

Эшелон представили сканер уязвимостей Сканер-ВС 7

Вчера в офисе Positive Technologies прошли ИТ-посиделки

Грядёт МАКСимизация?