Архив метки: ФСТЭК

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию EternalBlue, сканирование инфры с помощью Nessus Essentials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metascan, экспорт данных из Vulners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Management (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом - приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для VirtualBox c Nessus Essentials и Windows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vulnerability Management-а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nessus Essentials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Tenable и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metascan и Vulners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM-у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vulnerability Management-у хороших и разных!

Прожектор по ИБ, выпуск №8 (22.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №8 (22.10.2023). Записали очередной эпизод. Из основного: обсуждали Аврору ОС и отечественные смартфоны/планшеты, разобрали актуальные уязвимости с упором на Linux, немного коснулись регуляторики. К сожалению, у нас был какой-то сбой с видео, поэтому с 35:37 мы без камер. 🤷‍♂️

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и радуемся, что прошлый выпуск вроде неплохо смотрели 🙂
01:45 Лев поучаствовал в IVADAY 2023 и ему подарили отечественный планшет от БайтЭрг
08:40 Кажется, что смартфоны нa Авроре для физиков могут появиться в ноябре. Обсуждаем зачем и кому это вообще нужно
19:23 Телеканалы и операторов связи обяжут создать ИБ-подразделения
23:17 Auth bypass в Cisco IOS ХЕ (CVE-2023-20198)
27:47 13 эксплоитов ботнета Mirai
30:37 RCE уязвимость в JetBrains TeamCity (CVE-2023-42793)
33:56 Женщина сама себя сняла с электронной очереди в детский сад в Астане
35:37 Смотрим отчёт по октябрьскому Linux Patch Wednesday
37:52 GNOME уязвим перед RCE-атаками из-за ошибки в библиотеке libcue
41:20 Охарактеризуйте олдскульную ИБ одним словом и шлите нам свои мемасики
42:38 ФБР предупредила о хакерах-вымогателях, атакующих клиники пластической хирургии в США и мире
43:43 В CISA KEV появилась новая колонка, отвечающая за использование уязвимости в атаках шифровальщиков
45:13 Практический вопрос использования методики оценки уровня критичности уязвимостей ФСТЭК
49:43 Сходка "ПоИБэшечка: К истокам" 31 октября
51:50 Прощание от Mr. X

Получил неофициальное разъяснение от ФСТЭКа по поводу использования методики оценки уровня критичности уязвимостей

2 комментария

Получил неофициальное разъяснение от ФСТЭКа по поводу использования методики оценки уровня критичности уязвимостей. Это по вопросу расчета Iinfr, который я вчера поднимал:

"Изначально задумывалось, что уязвимость оценивается для всей ИС. Но, поскольку это не прописано в методике явно, то допускаются оба сценария оценки."

Т.е. основной вариант 1 (единый Iinfr для всей инфраструктуры/информационной системы, через максимизацию значения показателей) но можно использовать и 1, и 2 (считаем Iinfr независимо для каждого уязвимого актива).

Вопрос по поводу практического применения методики оценки уровня критичности уязвимостей ФСТЭК

1 комментарий

Вопрос по поводу практического применения методики оценки уровня критичности уязвимостей ФСТЭК. Наверное у каждого, кто пробовал применять методику возникал вопрос. Ну хорошо, Iinfr зависит от типа уязвимого актива. А что делать, если у меня разные типы активов (хостов) подвержены данной CVE/БДУ уязвимости? Например, у меня уязвимость Windows, которая детектируется и на десктопах, и на серверах. Какое тогда значение показателя K выбирать? Или, например, у меня уязвимости подвержены и хосты на периметре, и глубоко во в внутрянке. Тоже непонятно какое значение показателя P выбирать.

Кажется, что здесь могут быть два основных подхода:

1. Единый Iinfr для всей инфраструктуры, через максимизацию значения показателей. То есть если уязвимость есть на десктопах и серверах, то берём значение K для серверов. Если есть хоть один уязвимый хост на периметре, то берем P для средств доступных из Интернет.

✅ Плюс: в итоге получаем один уровень критичности V для уязвимости, этакий "улучшенный CVSS" и используем его так, как использовали бы CVSS.

⛔ Минус: получается, что этот максимизированный V будет аффектить все активы и задавать требования по оперативности исправления. Если у нас уязвимость на 100 десктопах и одном сервере, то будьте любезны пофиксить её на десктопах с той же срочностью, что и на сервере. Ну или сначала пофиксить на сервере, и потом пересчитать Iinfr и, соответственно, V. Получим меньшую критичность и более комфортные сроки устранения уязвимости.

2. Считаем Iinfr независимо для каждого уязвимого актива. То есть сколько у нас активов (или групп однотипных активов), столько у нас будет Iinf и, соответственно, V.

✅ Плюс: получаем атомарность, практически избавляемся от неоднозначности.

⛔ Минус: это уже будет не "улучшенный CVSS", нельзя будет сказать, а какова критичность этой CVE/БДУ, т.к. для каждого уязвимого актива она может отличаться. В прочем, с CVSS может быть та же история, если активно подкручивать Temporal часть вектора для каждого актива (на практике я правда такое не встречал).

А как правильно? 🧐 Видится, что можно жить и с первым, и со вторым вариантом. Но было бы здорово получить разъяснения ФСТЭК о том, как оно изначально задумывалось, и на это уже ориентироваться.

Upd. Получил неофициальное разъяснение от ФСТЭК. Задумывался первый вариант, но можно оба.

Расписал таймкоды, комментарии и ссылки на дополнительные материалы для выпуска подкаста "КиберДуршлаг" про Управление Уязвимостями со мной

Добавить комментарий

Расписал таймкоды, комментарии и ссылки на дополнительные материалы для выпуска подкаста "КиберДуршлаг" про Управление Уязвимостями со мной.

00:00 Паша торжественно бьёт в дуршлаг, здороваемся, я рассказываю чем занимаюсь и пиарю свои телеграмм-канальчики. 🙂
01:32 Как я начал заниматься безопасностью и VM-ом. Рассказываю как я довольно случайно прошёл на ИУ8 МГТУ Баумана по собеседованию для медалистов. VM-ом начал заниматься из-за первой работы в Позитиве и вот так дальше пошло-поехало.
04:06 Пригодился ли мне универ? Рассказываю, что, как и многие, не понял прикол с дикими объемами дискретки. Но безусловно базу дало. Не устаю пиарить курс Валентина Цирлова по ТОИБАС.
06:00 Начинаем с определения уязвимости. Определяю как багу, которую может использовать злоумышленник. Миша накидывает про мисконфигурации. Я вспоминаю про CCE и CCSS.
08:23 Классическая тема: сканеры уязвимостей, Vulnerability Management решения, Vulnerability Management процесс. Выражаю скепсис по поводу принципиальной разницы между сканером уязвимостей и VM-решением. Вспоминаю про шведов с Антифишингом в VM-ме. Паша накидывает: а нужен ли в VM-е контроль целостности? VM-процесс он про исправление уязвимостей, причём силами IT.
13:36 Миша спрашивает: "Что входит в процесс управления уязвимостями"? По факту на вопрос не отвечаю, а рассказываю почему основа VM-а это управление активами. 😏
18:59 Обсуждаем CVSS и методику оценки критичности уязвимостей ФСТЭК. Вспоминаю ОСОКу. Трендовых уязвимостей тоже касаемся. Агитирую за безусловный патчинг, указывая на куцые описания уязвимостей из MS Patch Tuesday. Вспоминаю про Linux Patch Wednesday.
30:38 Безусловные обновления плохо сочетаются с требованиями по проверке патчей западного ПО, включая open source. Выход? Импортозамещение! Рекомендательный алгоритм НКЦКИ и методика оценки обновлений ФСТЭК, что из этого более приоритетно? Вопрос к методологам.
34:40 Призываем отечественных вендоров публиковать уязвимости.
37:38 Vulnerability Management процесс в организации сложно построить? Какие люди нужны? Организации разные. Начинать нужно с руководства. Рассказываю про докажи-покажи.
43:21 Можно ли построить VM-процесс на open source решениях? Вполне реально сканить порты, детектить линуксовые уязвимости по пакетам. Но есть ограничения детектирования и спросить вам будет не с кого. С Windows всё плохо.
48:16 Обсуждаем уход западных VM-решений с российского рынка. Как это было?
50:17 Обсуждаем должен ли Compliance Management входить в VM и в чём проблема текущей реализацией CM в VM решениях и текущих стандартов конфигурирования.
56:52 Какая функциональность должна быть реализована в VM решении это вопрос регуляторный. Может нужна сертификация? 🤔
58:24 Крутое VM-решение для каждого клиента своё. Кому-то нужна "коробка", кому-то только детекты.
01:02:11 Вопрос VM-вендорам: почему такая разница в результатах детектирования между решениями от двух вендоров? Может сертификация нужна? 🤔 Паша и Миша накидывают кейсы по MS, которые могут давать расхождения. Хорошо, когда логика детектирования прозрачна и доступна для изучения.
01:07:00 Как я вижу развитие VM решений. Хотелось бы хорошего качества детектирования с фокусом в сторону импортозамещающей инфры. Также хотелось бы возможностей по добавлению уязвимостей со стороны и собственных детектов.
01:11:09 Торжественное вручение мне ведра с подарками. 😁

Подписывайтесь на КиберДуршлаг на удобных вам платформах по ссылкам в официальном посте!

Прожектор по ИБ, выпуск №4 (24.09.2023)

Добавить комментарий

Прожектор по ИБ, выпуск №4 (24.09.2023). Записали вчера очередной эпизод, состав тот же:

0:35 Как зашёл прошлый эпизод
2:08 Лев и Максим делятся впечатлениями от Kazan Digital Week
7:06 На какие мероприятия по ИБ мы ходим
11:06 Приостановка сертификата ФСТЭК на Dr.Web Enterprise Security Suite
19:04 Cisco покупает Splunk
25:59 Про RCE уязвимость BDU:2023-05857 в модулe landing CMS "1С-Битрикс: Управление сайтом".
30:02 Новые подробности инцидента с FDM и скрипт для детекта
32:21 Занятные моменты детектирования Linux уязвимостей на примере CVE-2022-1012, RPM-based дистрибутивы и импортозамещение
44:02 Прощание от Mr. X

Адекватный анализ того, что же это было с приостановкой сертификата ФСТЭК на Dr.Web Enterprise Security Suite прочитал у Алексея Комарова

3 комментария

Адекватный анализ того, что же это было с приостановкой сертификата ФСТЭК на Dr.Web Enterprise Security Suite прочитал у Алексея Комарова. На сайте реестра российского ПО Минцифры у каждого ПО есть своя страничка. И в этой страничке отмечаются уязвимости из БДУ для этого ПО, устранённые и неустранённые. На страничке Dr.Web Enterprise Security Suite значилась неустранённой древняя уязвимость BDU:2014-00226. Там суть в том, что обновления качаются по HTTP без шифрования. Непорядок. Но вроде как это уже и пофиксили давно. Но когда приостановили действие сертификата, уязвимость на странице софта значилась неустранённой, а когда восстановили действие, то уязвимость на странице стала показываться как устранённая. Т.е. кипеш был из-за странной уязвимости 2014 года? 🧐 Похоже на то.

Мораль: если ваше ПО есть в реестре Минцифры и у вас есть сертификат ФСТЭК, мониторьте раздел "неустранённые уязвимости" и активно исправляйте или доказывайте, что уже исправили. А то могут быть проблемки.

Александр В. Леонов

Управление Уязвимостями и прочее