На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять"

Добавить комментарий

На портале @CISOCLUB вышло большое интервью со мной Все об уязвимостях и как ими управлять

На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять". Знаковое событие для меня. 🥳 Фактически там всё, что я сейчас считаю важным в Vulnerability Management-е.

Подробно отвечаю на вопросы:

🔹 Что такое процесс управления уязвимостями и из каких этапов он состоит?
🔹 В чём состоят сложности при выявлении уязвимостей в современных IT-инфраструктурах?
🔹 Как понять, какие активы в организации требуется покрывать VM-ом?
🔹 В чём состоят сложности детектирования уязвимостей и как оценивать полноту/достаточность способов детектирования уязвимостей для организации?
🔹 Как оценивать и приоритизировать уязвимости и все ли их нужно устранять?
🔹 Кто и как должен определять SLA по устранению уязвимостей?
🔹 Как оценивать эффективность процесса управления уязвимостями?
🔹 Какие источники наиболее эффективны для отслеживания уязвимостей в России?

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ

Добавить комментарий

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ

Коллеги из ГОС ИТ Богатырёва составили папку с 22 Telegram-каналами по ИБ. Очень приятно, что и "Управление уязвимостями и прочее" там тоже есть. 😇 Вообще, подборка весьма удачная. Хороший микс экспертных каналов и каналов ИБ-компаний. На большую часть я подписан и регулярно почитываю.

Добавляйте папку себе и скидывайте коллегами! 😉

Про кейс с хлопками пейджеров на Ближнем Востоке

Добавить комментарий

Про кейс с хлопками пейджеров на Ближнем Востоке

Про кейс с хлопками пейджеров на Ближнем Востоке.

🔹 Если это была штатная функция удалённого уничтожения потерянных устройств (пока выгладит наиболее вероятным), то занимательно, что никто не подумал о варианте с активацией этой функции третьей стороной. Носить такую штуку на поясе довольно безрассудно. Кажется, что функцию удалённого уничтожения можно было бы реализовать и менее травмоопасным образом.

🔹 Если такой штатной функции не было, а это была специальная партия устройств "с сюрпризом" или (что ещё хуже) следствие вызванного перегрева обычной литиевой батарейки, то +1 паранойя и повод для пересмотра правил досмотра и провоза электронных устройств.

В общем, пока ничего не понятно, но очень интересно. В любом случае это будет исторический кейс, который все мы будем частенько припоминать.

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Добавить комментарий

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461)

Повысилась критичность уязвимости Spoofing - Windows MSHTML Platform (CVE-2024-43461). Уязвимость была исправлена в рамках сентябрьского Microsoft Patch Tuesday. На момент публикации, Microsoft не отмечали эту уязвимость как эксплуатирующуюся вживую. Сделали они это только через 3 дня, 13 сентября.

Уязвимость обнаружил исследователь ZDI Threat Hunting team Питер Гирнус в ходе расследования атак APT группировки Void Banshee. Уязвимость эксплуатировалась в той же цепочке атак, что и трендовая уязвимость Spoofing - Windows MSHTML Platform (CVE-2024-38112), исправленная в июле.

Суть уязвимости в том, что злодеи скрывали расширение открываемого зловредного HTA файла, добавляя в его имя 26 пробельных символа из шрифта Брайля. Таким образом жертва могла подумать, что открывает безобидный PDF документ.

После установки обновления безопасности пробелы в имени файла не удаляются, но Windows теперь отображает его фактическое расширение. 👍

Русалочка и неудачная закупка VM-решения

Добавить комментарий

Русалочка и неудачная закупка VM-решения

Русалочка и неудачная закупка VM-решения. Ходили вчера в театр на Русалочку. По интерпретации, мягко говоря, не Дисней. 🫣 Действо максимально приближено к оригинальному тексту Андерсена. Ну, не без режиссёрских находок, конечно. Ведьма почему-то везде ходит с раком-отшельником (в прошлом тоже принцем 🤨) и делится с ним подробностями своих злодейских гешефтов. А он на это только офигивает и жалобно мычит. Жутковатая фигня. В остальном же всё близко к тексту. Финал трагический. 🤷‍♂️

Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Добавить комментарий

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей. Сразу вспомнилась мемная картиночка. 🙂 Идея-то, в целом, неплохая. Но нужно понимать, что попытка внедрения таких практик встретит всевозможное сопротивление со стороны IT. От рядовых инженера и до CIO. Они не поленятся найти те таски на устранение уязвимостей, где есть какие-то косяки: неочевидная эксплуатабельность, подозрение на false positive и т.п. И они используют эти кейсы, чтобы представить дело так: это вы недостаточно хорошо выполняете свою работу и наваливаете им бесполезные задачи! 🤷‍♂️😏

Приведите таски в порядок, подготовьте контраргументы и убедитесь, что у вас хватит административного ресурса на продавливание таких непопулярных решений. Без должной подготовки лучше в лобовые атаки не ходить. Вы же не Бессмертный (и не Неувольняемый 😉).

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress

Добавить комментарий

Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺

📹 Ролик "В тренде VM" на YouTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:48 Remote Code Execution - Windows Remote Desktop Licensing Service "MadLicense" (CVE-2024-38077)
🔻 02:22 Security Feature Bypass - Windows Mark of the Web "Copy2Pwn" (CVE-2024-38213)
🔻 03:23 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2024-38193), Windows Kernel (CVE-2024-38106), Windows Power Dependency Coordinator (CVE-2024-38107)
🔻 04:50 Unauthenticated Elevation of Privilege - WordPress LiteSpeed Cache Plugin (CVE-2024-28000)