Архив метки: Tenable

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками

VM-вендоры не умеют детектировать уязвимости, которые эксплуатируются шифровальщиками. Прочитал отчёт "Index Update Q1 2023 RANSOMWARE Through the Lens of Threat and Vulnerability Management" по данным Securin и Ivanti. Товарищи анализируют информацию об уязвимостях, которые используются 356 шифровальщиками.

В отчёте утверждается, что есть 18 уязвимостей, эксплуатируемых шифровальщиками, которые не детектируются сканерами уязвимостей ТОПовых VM-вендоров (Tenable, Rapid7 и Qualys):

CVE-2010-1592
CVE-2012-3347
CVE-2013-0322
CVE-2013-2618
CVE-2013-3993
CVE-2015-2551
CVE-2015-7465
CVE-2017-15302
CVE-2017-18362
CVE-2017-3197
CVE-2017-3198
CVE-2017-6884
CVE-2019-16647
CVE-2019-16920
CVE-2019-5039
CVE-2019-9081
CVE-2020-36195
CVE-2021-33558

Эти уязвимости эксплуатируются 59 группировками шифровальщиков, среди которых Hive, Qlocker, QNAPCrypt и UEFI.

От меня: когда я призываю к открытости баз знаний VM-вендоров, я имею ввиду именно это. Любой VM-вендор умеет детектировать только часть из всех известных уязвимостей. Кто может сказать, что тех уязвимостей, которые он умеет детектировать, достаточно и в его слепой зоне точно нет ничего критичного? Вот имеем пример, когда исследователи, получив доступ к базам знаний (детектов) VM-вендоров, подтвердили проблему с полнотой. И это мы берём самый-самый топ критичных уязвимостей и самых крутых международных VM-вендоров.

Разумеется, сравнение по детектируемым CVE идентификаторам это далеко не идеальный способ обнаружить проблемы с полнотой, но это простой способ и какое-то представление он даёт. Поэтому, призываю всех пушить отечественных VM-вендоров, чтобы информация о детектируемых уязвимостях была публичной и общедоступной для стороннего анализа. Ну или хотя бы доступной регуляторам, чтобы регуляторы сами контролировали адекватность баз знаний (детектов) VM-вендоров.

В отчёте также есть критика CVSS, NVD и CISA KEV из-за некорректного учёта эксплуатируемых шифровальщиками CVE:

• 30% CVE не имеют CVSS v2 или v3 в NVD
• 2 CVE имеют severity Low, 57 Medium в NVD
• 2 CVE находятся в статусе Rejected в NVD (CVE-2015-2551 и CVE-2019-9081)
• только 68% CVE содержатся в CISA KEV, требуется добавить ещё 131

Про историю Vulnerability Management-а

Про историю Vulnerability Management-а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Traditional Vulnerability Management is Dead!" с Stefan Thelberg, CEO Holm Security. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.

В начале Stefan Thelberg заявляет про историю Vulnerability Assessment-а (Vulnerability Management-а) буквально следующее:

1. Оригинальная идея Vulnerability Assessment-а появилась в гайдлайнах NIST-а.
2. Прошло 20 лет и появились первые Vulnerability Assessment продукты.
3. Большая часть Vulnerability Assessment продуктов родились из опенсурсного проекта OpenVAS.
4. Один из наиболее распространенных продуктов на рынке, Nessus, это коммерческий форк OpenVAS.
5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Tenable, Qualys.

То, что VA/VM родился из каких-то публикаций NIST-а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был OpenVAS, а потом Nessus это очень странно. Первая версия The Nessus Project вышла в 1998 как GPL проект. Первая версия XSpider (тогда Spider) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Tenable в 2002, Positive Technologies в 2002. Проект OpenVAS (GNessUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus-а, т.к. сам Nessus с 2005 года стал проприетарным продуктом Tenable.

Вот и думай теперь, то ли Stefan Thelberg говорит о том, о чем понятия не имеет. То ли он как-то странно называет OpenVAS-ом оригинальный Nessus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus-а или OpenVAS-а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nexpose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nessus. Может, конечно, у самих Holm Security движок это OpenVAS и они всех по себе меряют, не знаю. 😏

Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM-у" не поддерживать все типы активов, которые в организации есть - непонятно. Да и какой-то проблемы прикрутить к VM-у Антифишинг, если так уж хочется, тоже нет.

Tenable переименовывают свои продукты

Tenable переименовывают свои продукты

Tenable переименовывают свои продукты. Обратно. 🤩 Отчётливо помню как это было. Например, для SecurityCenter:

"Nov 28, 2018 — Tenable SecurityCenter was renamed Tenable.sc to better reflect its position as a core element of the Tenable Cyber Exposure platform."

Прошло 5 лет и они переименовывают его обратно в Tenable Security Center (теперь с пробелом). С другими продуктами аналогично.

"May 15, 2023 — Tenable is changing its products’ names to make them more descriptive, so that it’s easier for people to understand our portfolio and the capabilities we offer."

Сразу видно, что делом люди заняты, молодцы. 🤡 Зато у Tenable наконец появился продукт Tenable Vulnerability Management. 😏

Год с великого исхода западных вендоров: судьба специалиста

Год с великого исхода западных вендоров: судьба специалиста. С трудом уже верится, но раньше в РФ было возможно строить IT/ИБ системы, используя западные решения. 🙂 Более того, это был абсолютный мейнстрим. Как следствие, сотрудники российских компаний естественным образом развивались в крутых специалистов по продуктам Microsoft, Oracle, CISCO, PaloAlto, AWS, Tenable/Qualys/Rapid7 и т.д. 😉 Собирали комплекты вендорских сертификатов, выстраивали красивые CV-шки.

Безусловно, в этом была своя прелесть. Ты используешь те же решения, что и крупные компании во всем развитом мире, твои скилы также востребованы в общемировом масштабе. А значит релокация туда, где лучше, выглядит как вполне себе план Б (а у кого-то и как план А). Минусом шла привязка к западным вендорам и их судьбе в России. Но что с ними сделается-то? 😏

Однако оказалось, что сделаться может много чего и очень быстро. И перед российскими специалистами по решениям западных вендоров всерьез встал выбор:

- продолжать делать то, что делали, а значит релоцироваться туда, где можно продолжать строить системы на западных решениях;
- остаться и строить системы на тех решениях, которые остались/появились в РФ;
- остаться, перестать строить системы и принять участие в копировании западных решений.

Релокация это всегда мероприятие на любителя. Тем более сейчас, когда "жить на 2 страны" стало совсем не так просто и комфортно. Переезд на запад теперь выглядит скорее как дорога в один конец.

Остаться и развиваться в чем-то другом это и потеря конкурентных преимуществ, и необходимость быстро учиться новому, и переход в новый локальный контекст. Опыт с Яндекс Клауд и Астра Линукс безусловно менее универсален, чем с AWS и RHEL. 🙂 Это нужно осознать и принять.

Никого не осуждаю, у всех свои ситуации. Но милей мне, безусловно, оставшиеся. Мы в одной лодке, выгребем. 🛶 🙂

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC. Сам отчет "Worldwide Device Vulnerability Management Market Shares, 2021: The Stakes Are High" (Ставки высоки!) вышел в декабре 2022 года и вы могли насладиться этими чарующими 13 страницами уже тогда за какие-то жалкие $4,500.00. 😏 Однако Tenable начали хвастаться своим первым местом в нем только сегодня. Видимо потому, что им только сегодня разрешили выложить бесплатный отрывок, включающий разделы: резюме, доля рынка, кто повлиял на год, контекст рынка, приложение и дополнительная информация. Почитаем, порефлексируем, прокомментируем. Пока же можно констатировать то, что большая тройка не поменялась, это всё ещё: Tenable, Qualys и Rapid7. В принципе и по ощущениям оно как-то так же.

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога

Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.

00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor

Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/

Плавно свожу OpenVAS.ru с орбиты

Плавно свожу OpenVAS.ru с орбиты

Плавно свожу OpenVAS.ru с орбиты. Пришло время очередного продления домена и в этот раз я решил его не продлевать. В прошлом году я выкладывал пост "Возрождаем OpenVAS Russia?". Это было ещё до старта канала, поэтому продублирую частично:

"В 2015 году я крепко увлекся OpenVAS-ом. Создал официальную русскоязычную User Group, зарегистрировал сайт openvas.ru, поддерживал скрипт для автоматизации сборки из исходников и управлению сканером и неофициальный виртуальный апплаенс, писал обучающие посты.

Запала у меня хватило где-то до 2017-2018. После этого немцы из Greenbone сильно переделали архитектуру, у меня разъехалась билдилка. Ну и вообще стало как-то непонятно зачем мучаться с опенсурсом, если можно сконцентрироваться на работе с западными коммерческими решениями, которые и детектирует лучше, и работать с ними приятнее.

Не добавляло энтузиазма и активность Greenbone по ребрендингу OpenVAS, чтобы он больше способствовал их бизнесу. Теперь собственно OpenVAS это один маленький проектик непосредственно относящийся к старому Nessus-у. Все остальное это сплошной ехал Greenbone через Greenbone."

Основной GVM/OpenVAS вроде и живой, и открытый, последняя стабильная версия вышла в прошлом году и скоро должна выйти очередная. Есть даже официальная документация как ставить из исходников в Debian/Ubuntu, Fedora, CentOS. С другой стороны, практическая полезность продукта стремительно снижается.

1. Сканер уязвимостей это прежде всего база детектов, в данном случае Greenbone Community Feed. И изначально этот фид был неплох. НО Greenbone сознательно вырезали из него всё, что касается корпоративного софта, например MS Exchange. "This distinction is regarded an adequate balance between community needs and commercial needs". Я время от времени делаю сравнение с Tenable Nessus, последний раз год назад, разница ощутимая, хотя и не в одни ворота. Иногда встречаю тезис "куцая у него база, но это все равно лучше, чем ничего". Возможно, но все равно перед тем как использовать инструмент нужно оценить его ограничения и понимать что ты с помощью него хочешь продетектировать.

2. Сам движок для запуска NASL скриптов. Да, NASL это история. Да, на нем было написано множество проверок. Но насколько эти проверки актуальны сейчас? Кто-нибудь это исследовал? 🙂 Кажется для Local Security Checks это далеко не оптимальное решение, когда на каждую уязвимость генерится отдельный скрипт. Кажется даже OVAL выглядит логичнее и предпочтительнее для этого, не говоря уже об API-шках для детекта и обвязках вокруг них, типа моего Scanvus. Remote Checks сейчас успешно реализуются на скриптах для Nuclei или Nmap, а ещё проще написать проверку просто на python и не сковывать себя какими-то ограничениями специализированного языка. Причем сами вендоры, которые сидят на NASL, от него потихоньку отказываются. Tenable засовывают всё значимое в .nbin, а Greenbone делают свой Notus Scanner для проверок по версиям.

В общем, OpenVAS получается чемоданом без ручки. И бросить жалко, и польза от него стремительно перестает быть очевидной. Поэтому сайт openvas.ru, для которого не было обновлений с 2017 года, я прикрываю. Выкаченную копию его прикладываю (использовал httrack). OpenVAS Russia теперь полностью живет на https://vk.com/openvas.russia. Кому хочется поучаствовать или порулить комьюнити - всегда welcome!