Архив метки: ФСТЭК

Методические рекомендации ЦБ по управлению уязвимостями и пентестам

Добавить комментарий

Методические рекомендации ЦБ по управлению уязвимостями и пентестам

Методические рекомендации ЦБ по управлению уязвимостями и пентестам. 21 января был утверждён документ "Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка".

Документ на 21 страницу. Он содержит общие положения и рекомендации:

🔹 по проведению пентестов
🔹 по проведению анализа уязвимостей
🔹 по самостоятельному проведению этих работ и с привлечением сторонней организации
🔹 по информированию ЦБ о результатах работ (с формой отчёта)

В части Управления Уязвимостями наиболее важными видятся рекомендации:

🔻 3.7. проводить работы по анализу и устранению уязвимостей по руководству ФСТЭК по организации VM-процесса от 17.05.2023 ‼️
🔻 3.4. оценивать критичность уязвимостей по методике ФСТЭК от 28.10.2022
🔻 использовать сертифицированные ФСТЭК средства детектирования уязвимостей инфраструктуры 3.3. и исходного кода 3.5.

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Добавить комментарий

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации

Отечественная инициатива по поиску уязвимостей в СПО для виртуализации. Тестирование проводили специалисты компании "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" на стенде Центра исследований безопасности системного ПО, созданного ФСТЭК России на базе ИСП РАН. Студенты МГТУ им. Баумана и ЧГУ помогали с разметкой данных и настройкой целей для фаззинга.

Проверяли nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделяли libvirt.

Всего выявили 191 дефект:

🔹 178 нашли SAST-ом (больше всего в ActiveMQ Artemis и Apache Directory)

🔹 13 нашли фазингом (в Apache Directory LDAP API и libvirt)

Исправления интегрировали в основные ветки проектов.

Инициатива классная. 👍 Но было бы неплохо, конечно, узнать какие из этих детектов являются эксплуатабельными уязвимостями и проконтролировать, что фиксы уязвимых компонентов дошли до связанных сертифицированных продуктов в адекватные сроки. 😉

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее"

Добавить комментарий

Выложил свой перемонтированный доклад с PHDays 2 "Кризис NVD и светлое БуДУщее". Снимали на PHDays в этот раз по-богатому. На несколько камер. Даже летающая камера на кране была. А профессиональная команда в реальном времени сводила это всё в очень красивую картинку. Казалось бы, всё круто. Но при этом переключений на слайды почему-то не было вообще. 🤷‍♂️ Ни разу. Только съёмки экрана за моей спиной на общих планах. 🤦‍♂️ Формат съёмки был явно не для технических докладов.

Я выкачал видяшку, чуть подрезал, добавил слайды поверху и стало гораздо смотрибельнее. ✂️👨‍🎨

🎞 Выложил на VK Видео, Rutube и YouTube.

Удивительно, но с мая месяца доклад не сильно устарел. Кризис NVD не спешит заканчиваться, а команда NIST-а продолжает выкладывать странные послания и демонстрировать свою беспомощность. 🧐

Содержание:

00:00 Приветствие и кто я вообще такой
00:35 О чём будем говорить?
01:02 Как связаны базы NIST NVD и MITRE CVE, почему они растут с ускорением и при этом неполны?
06:44 Как ретроспективно развивался кризис NVD 2024 года?
08:12 В чём важность контента в NVD?
10:42 Чем объясняли кризис NVD в NIST?
12:38 Как реагировало сообщество безопасников на кризис в NVD и чем отвечали на это в NIST?
16:10 Какие меры предлагались сообществом и CISA для уменьшения зависимости от NVD?
18:00 NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
19:11 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты; также про использование Vulristics для анализа уязвимостей БДУ
27:32 Выводы
31:11 Вопрос про статусы CVE уязвимостей DISPUTED и REJECTED
32:14 Вопрос про VM продукт для частного использования
34:16 Вопрос про достоверность оценки угроз от ФСТЭК
35:48 Вопрос про проверку причин отсутствия ссылок на CVE в БДУ

Ездили сегодня с участниками PHDшной дискуссии в гости к ФСТЭК

Добавить комментарий

Ездили сегодня с участниками PHDшной дискуссии в гости к ФСТЭК

Ездили сегодня с участниками PHDшной дискуссии в гости к ФСТЭК. Обсуждали наши предложения по улучшению БДУ (24 пункта совместно насобирали). Впечатления от 3 часов обсуждения самые приятные. 👍 Очень обстоятельно и конструктивно по пунктам прошлись. Особенно большие надежды возлагаю на улучшение формализации данных по уязвимым версиям ПО, чтобы можно было в некоторой перспективе делать что-то вроде CPE-детектов. Свою ОСОКу, к сожалению, я пока не продал. 🤷‍♂️😅

Режим там строгий, так что без фоток. Иллюстрирую общедоступным скриншотом из Яндекс-панорам. 🙂

Впечатления от моих вчерашних выступлений на PHDays 2

Добавить комментарий

Впечатления от моих вчерашних выступлений на PHDays 2Впечатления от моих вчерашних выступлений на PHDays 2Впечатления от моих вчерашних выступлений на PHDays 2Впечатления от моих вчерашних выступлений на PHDays 2Впечатления от моих вчерашних выступлений на PHDays 2

Впечатления от моих вчерашних выступлений на PHDays 2. Было круто, мне понравилось. 🙂 Причём эмоций от первой модерации дискуссии даже больше, чем от собственного доклада. 😅

Когда докладываешься, то сам контролируешь ситуацию за исключением технических моментов. В дискуссии же есть значительная доля неопределенности. Несмотря на заготовленные вопросы, прописанный сценарий, предварительное обсуждение и прочее.

Здесь огромная благодарность всем участникам! Особенно, конечно, Виталию Сергеевичу Лютикову, за терпение к высказанным критическим моментам и интересные комментарии.

Также отдельно хотелось бы поблагодарить Алексея Викторовича Лукацкого за идею проведения дискуссии, большую помощь в организации и возможность попробовать себя в новой роли модератора.

Запись трансляции ищется на Youtube по "Государство 24 мая Positive Hack Days Fest 2". Чуть позже перезалью ролики на свой канал и перемонтирую выступление, чтобы слайды было лучше видно.

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика

2 комментария

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

1 комментарий

Мой доклад на PHDays Кризис NVD и светлое БуДУщее пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.

В рамках доклада рассмотрим:

🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.

Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).

upd. 22.05 Обновил время начала