Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями". Исследование они делали по заказу Tenable, поэтому особой интриги кто из Tenable, Qualys и Rapid7 победит быть не могло. 😏 В отличие от подобных маркетинговых сравнений, Miercom решили не делать опрос клиентов и не сравнивать по высокоуровневым фичам. Они сравнивали по базовой функциональности, а именно по полноте базы детектов:
1. Покрытие CVE-шек из NVD с 1999 по 2022. FYI, даже лидер покрывает только 71к из 192к на конец 2022. 😉 2. Покрытие CVE-шек для 24 топовых IT-вендоров (видимо по CPE). 3. Покрытие эксплуатируемых вживую CVE-шек из CISA KEV. Также сравнили по среднему времени добавления детекта, но абсолютные величины не написали, только разницу на сколько Tenable быстрее. 😏🤷♂️ 3. Покрытие по CIS-бенчмаркам.
Методику сравнения, в целом, одобряю. Приятно осознавать, что я сам занимался сравнением баз знаний по CVE и выявлением "слепых пятен" до того, как это стало мейнстримом. 😅
С маркетинговыми сравнительными отчётами по Vulnerability Management решениям то пусто, то густо. Одновременно подъехали:
🔻 GigaOm Radar Report for Continuous Vulnerability Management v3.01. Можно посмотреть у Qualys. 🔻 The Forrester Wave™: Vulnerability Risk Management, Q3 2023. Можно посмотреть у Tenable.
Почему каждый из вендоров распространяет сейчас тот или иной отчёт наглядно видно на картинках. 😉
Tenable анонсировали Vulnerability (Exposure) Management с генеративным AI а-ля ChatGPT. Продукт (или скорее технология) будет называться ExposureAI и будет доступен в составе Tenable One.
Основные фичи:
1. Можно будет делать запросы на естественном языке. 2. Можно будет генерить человекочитаемые описания Attack Path сценариев (экономит время при составлении отчётов). 3. Можно будет видеть инсайты "чем в первую очередь нужно заняться".
Как и в случае с Cyclops Security, которые анонсировали похожую функциональность чуть раньше, всё зависит от того, насколько система окажется умной и как сильно она будет ошибаться. А так-то прикольно. Думаю чуть менее чем все VM-вендоры будут с такой функциональностью экспериментировать.
Традиционный аудио/видео эпизод по итогам июльского Microsoft Patch Tuesday. В этом месяце получилось и уязвимости разобрать, и доработать Vulristics. 😇 В августе буду в основном всякими образовательными инициативами заниматься. 🤫 Следите за обновлениями. 🙂
------
Hello everyone! This episode will be about Microsoft Patch Tuesday for July 2023, including vulnerabilities that were added between June and July Patch Tuesdays.
Vulristics improvements 00:11 Works faster 01:31 Microsoft ADVs 02:45 Comments Table
TOP 04:09Remote Code Execution – Microsoft Office (CVE-2023-36884) 05:06Security Feature Bypass – Windows SmartScreen (CVE-2023-32049) 05:48Security Feature Bypass – Microsoft Outlook (CVE-2023-35311) 06:37Elevation of Privilege – Windows Error Reporting Service (CVE-2023-36874) 07:16Elevation of Privilege – Windows MSHTML Platform (CVE-2023-32046)
Other RCEs 08:10Remote Code Execution – Windows Active Directory Certificate Services (AD CS) (CVE-2023-35350) 09:01Remote Code Execution – Microsoft Message Queuing (CVE-2023-32057, CVE-2023-35309) 09:44Remote Code Execution – Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) 10:24Remote Code Execution – Windows Layer-2 Bridge Network Driver (CVE-2023-35315) 10:57Remote Code Execution – Microsoft SharePoint (CVE-2023-33134, CVE-2023-33157, CVE-2023-33159, CVE-2023-33160) 11:42Remote Code Execution – Windows Pragmatic General Multicast (PGM) (CVE-2023-35297)
В отчёте утверждается, что есть 18 уязвимостей, эксплуатируемых шифровальщиками, которые не детектируются сканерами уязвимостей ТОПовых VM-вендоров (Tenable, Rapid7 и Qualys):
Эти уязвимости эксплуатируются 59 группировками шифровальщиков, среди которых Hive, Qlocker, QNAPCrypt и UEFI.
От меня: когда я призываю к открытости баз знаний VM-вендоров, я имею ввиду именно это. Любой VM-вендор умеет детектировать только часть из всех известных уязвимостей. Кто может сказать, что тех уязвимостей, которые он умеет детектировать, достаточно и в его слепой зоне точно нет ничего критичного? Вот имеем пример, когда исследователи, получив доступ к базам знаний (детектов) VM-вендоров, подтвердили проблему с полнотой. И это мы берём самый-самый топ критичных уязвимостей и самых крутых международных VM-вендоров.
Разумеется, сравнение по детектируемым CVE идентификаторам это далеко не идеальный способ обнаружить проблемы с полнотой, но это простой способ и какое-то представление он даёт. Поэтому, призываю всех пушить отечественных VM-вендоров, чтобы информация о детектируемых уязвимостях была публичной и общедоступной для стороннего анализа. Ну или хотя бы доступной регуляторам, чтобы регуляторы сами контролировали адекватность баз знаний (детектов) VM-вендоров.
В отчёте также есть критика CVSS, NVD и CISA KEV из-за некорректного учёта эксплуатируемых шифровальщиками CVE:
• 30% CVE не имеют CVSS v2 или v3 в NVD • 2 CVE имеют severity Low, 57 Medium в NVD • 2 CVE находятся в статусе Rejected в NVD (CVE-2015-2551 и CVE-2019-9081) • только 68% CVE содержатся в CISA KEV, требуется добавить ещё 131
Про историю Vulnerability Management-а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Traditional Vulnerability Management is Dead!" с Stefan Thelberg, CEO Holm Security. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.
В начале Stefan Thelberg заявляет про историю Vulnerability Assessment-а (Vulnerability Management-а) буквально следующее:
1. Оригинальная идея Vulnerability Assessment-а появилась в гайдлайнах NIST-а. 2. Прошло 20 лет и появились первые Vulnerability Assessment продукты. 3. Большая часть Vulnerability Assessment продуктов родились из опенсурсного проекта OpenVAS. 4. Один из наиболее распространенных продуктов на рынке, Nessus, это коммерческий форк OpenVAS. 5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Tenable, Qualys.
То, что VA/VM родился из каких-то публикаций NIST-а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был OpenVAS, а потом Nessus это очень странно. Первая версия The Nessus Project вышла в 1998 как GPL проект. Первая версия XSpider (тогда Spider) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Tenable в 2002, Positive Technologies в 2002. Проект OpenVAS (GNessUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus-а, т.к. сам Nessus с 2005 года стал проприетарным продуктом Tenable.
Вот и думай теперь, то ли Stefan Thelberg говорит о том, о чем понятия не имеет. То ли он как-то странно называет OpenVAS-ом оригинальный Nessus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus-а или OpenVAS-а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nexpose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nessus. Может, конечно, у самих Holm Security движок это OpenVAS и они всех по себе меряют, не знаю. 😏
Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM-у" не поддерживать все типы активов, которые в организации есть - непонятно. Да и какой-то проблемы прикрутить к VM-у Антифишинг, если так уж хочется, тоже нет.
Tenable переименовывают свои продукты.Обратно. 🤩 Отчётливо помню как это было. Например, для SecurityCenter:
"Nov 28, 2018 — Tenable SecurityCenter was renamed Tenable.sc to better reflect its position as a core element of the Tenable Cyber Exposure platform."
Прошло 5 лет и они переименовывают его обратно в Tenable Security Center (теперь с пробелом). С другими продуктами аналогично.
"May 15, 2023 — Tenable is changing its products’ names to make them more descriptive, so that it’s easier for people to understand our portfolio and the capabilities we offer."
Сразу видно, что делом люди заняты, молодцы. 🤡 Зато у Tenable наконец появился продукт Tenable Vulnerability Management. 😏
