Добавление своего контента в MaxPatrol HCC

Добавить комментарий

Добавление своего контента в MaxPatrol HCC

Добавление своего контента в MaxPatrol HCC. 10 сентября прошёл вебинар Positive Technologies про то, как собирать произвольные параметры с активов сети с помощью Audit Extension в MaxPatrol VM, а затем реализовать комплаенс-проверку этих параметров с помощью MaxPatrol HCC. Видеозапись уже доступна.

Первый пример был про проверку отсутствия Telegram-а на хосте (непожатая картинка):

1. Готовим Audit Extension для сбора данных.
2. Подкладываем Audit Extension на сканер (агент) и смотрим новый собранный софт в MPVM.
3. Готовим комплаенсовую проверку, собираем в zip-архив и загружаем в Библиотеку требований.
4. Собираем стандарт из комплаенсовых проверок и импортируем его.
5. Смотрим стандарт в MPVM.
6. Смотрим результаты выполнения проверки PDQL-запросом.

Ещё были примеры с проверкой политики блокировки макросов, наличия и работы EDR-агента, настроек Sysmon и PostgreSQL.

Все файлы выложили, можно самостоятельно поиграться. 😇

Генерация имён для уязвимостей

Добавить комментарий

Генерация имён для уязвимостей

Генерация имён для уязвимостей. У коллег, которые занимаются атрибуцией атак, есть забава давать группам злоумышленников имена по какой-то схеме. Например, Midnight Blizzard или Mysterious Werewolf. 🙂 Я подумал, а чего бы нам уязвимостям так имена не давать?

Допустим, Remote Code Execution - Windows NAT (CVE-2024-38119)

🔹 Типы уязвимостей превращаем в созвучные названия животных. RCE - это пусть будет Racoon. Для EoP можно Elephant, для Memory Corruption - Monkey и т.д.

🔹 По названиям софта автоматом подбираем прилагательные, начинающиеся с тех же букв. "Windows NAT" -> "Windy Nautical".

🔹 Уязвимостей одного типа в одном продукте может быть сколько угодно. Поэтому генерим сочетания наречий и причастий прошедшего времени (6940230 комбинаций), а потом мапим в них CVE-идентификаторы. CVE-2024-38119 -> 202438119 -> "2438119": "inquisitively underspecified"

Получаем: "Inquisitively Underspecified Windy Nautical Racoon", т.е. "Любопытно Неуточненный Ветреный Морской Енот". 🙂

Боли Asset Management процесса

Добавить комментарий

Боли Asset Management процесса

Боли Asset Management процесса. Судя по результатам прошлого опроса, Asset Management-ом в организациях занимаются, но в основном не с использованием специализированных продуктов, а закрывают эти задачи около-AM-ной функциональностью в смежных IT/ИБ решениях.

Давайте теперь наведём статистику, по проблемам, с которыми мы сталкиваемся в процессе управления активами. Ну и тем самым сформируем приоритизированный список задач, которые Asset Management система должна решать. 😉

🗳 Голосуем
🗣 Высказываемся в VK (в частности, интересно почему специализированные AM-решения не используете)

Взгляд на Offensive со стороны Vulnerability Management специалиста

Добавить комментарий

Взгляд на Offensive со стороны Vulnerability Management специалиста

Взгляд на Offensive со стороны Vulnerability Management специалиста. В канале Just Security вышел ролик про церемонию награждения Pentest Awards 2024 от Awillix. В ролике организаторы, жюри и победители рассуждают что это за мероприятие и для чего оно нужно - в первую очередь для нетворкинга специалистов по наступательной кибербезопасности и обмена опытом.

Я, как VM-щик, смотрю на этот движ несколько со стороны, но всегда с интересом.

🔹 Имхо, VM-щику лучше устраняться от игры в "докажи-покажи" с IT-шниками, т.к. это сжирает ресурсы необходимые для поддержания VM-процесса.

🔹 А у оффенсеров (pentest, bug bounty) суть работы как раз в "докажи-покажи" и заключается. Т.е. проломить здесь и сейчас хотя бы в одном месте.

Поэтому VM-щику обязательно нужно дружить с оффенсерами и отслеживать какие векторы популярны, эксплоиты для каких уязвимостей работают надёжно и "не шумят". Чтобы устранять такие уязвимости в первую очередь. 😉

Использование Android смартфона без учётки Google

Добавить комментарий

Использование Android смартфона без учётки Google

Использование Android смартфона без учётки Google. 9 сентября у Google был сбой при подтверждении новых аккаунтов из России по СМС. 10 сентября сбой устранили, но осадочек остался. 🤔

Я в это время как раз переезжал на новый Android смартфон Xiaomi. В качестве эксперимента я решил вообще не аутентифицироваться в нём с помощью Google аккаунта.

В принципе, жить можно. 🙂

🔹 Установке "skip" не мешает.

🔹 Сервисы Google (такие как Google Lens, TTS или голосовой ввод в Gboard) работают и без аутентификации.

🔹 А как без Google Play? Все российские приложения есть в RuStore (+ Duolingo и Telegram 😉), привычные мне западные (Voice Aloud Reader и Total Commander) я поставил через Xiaomi GetApps. Насколько я понимаю, приложения в GetApps могут попадать без ведома вендора. 🤷‍♂️ Не может ли там быть чего-то зловредного под видом популярного приложения? Xiaomi заверяют, что делают все необходимые проверки. Но, имхо, количество приложений из GetApps лучше минимизировать.

Сентябрьский Microsoft Patch Tuesday

Добавить комментарий

Сентябрьский Microsoft Patch Tuesday

Сентябрьский Microsoft Patch Tuesday. 107 CVE, из которых 28 были добавлены с августовского MSPT. 6 уязвимостей с признаками эксплуатации вживую:

🔻 Remote Code Execution - Windows Update (CVE-2024-43491)
🔻 Elevation of Privilege - Windows Installer (CVE-2024-38014)
🔻 Security Feature Bypass - Windows Mark of the Web (CVE-2024-38217), Microsoft Publisher (CVE-2024-38226), Chromium (CVE-2024-7965)
🔻 Memory Corruption - Chromium (CVE-2024-7971)

Без признаков эксплуатации, но с приватными эксплоитами:

🔸 Authentication Bypass - Azure (CVE-2024-38175)
🔸 Security Feature Bypass - Windows Mark of the Web (CVE-2024-43487)
🔸 Elevation of Privilege - Windows Storage (CVE-2024-38248)

Остальное интересное:

🔹 Remote Code Execution - Microsoft SQL Server (CVE-2024-37335 и ещё 5 CVE)
🔹 Remote Code Execution - Windows NAT (CVE-2024-38119)
🔹 Elevation of Privilege - Windows Win32k (CVE-2024-38246, CVE-2024-38252, CVE-2024-38253)

🗒 Полный отчёт Vulristics

А у вас вообще есть Asset Management процесс в организации?

Добавить комментарий

А у вас вообще есть Asset Management процесс в организации?

А у вас вообще есть Asset Management процесс в организации? Прямо вот взрослый с использованием специализированных инструментов? Или хватает около-AM-ной функциональности в смежных IT/ИБ решениях? Или может вам Asset Management вообще не нужен? Давайте выяснять. 🙂

Моё имхо я неоднократно высказывал: Asset Management это наиболее важная часть Vulnerability Management-а. Даже с сетевым периметром разобраться зачастую непросто. А с внутрянкой тем более. В идеале, конечно, было бы хорошо, чтобы ответственность за AM лежала не на самом VM-щике. Чтобы VM-щик только аномалии в учёте активов находил и жаловался. 😅

🗳 Голосуем
🗣 Высказываемся в VK