Выпустил блогопост и видяшку по последним новостям Vulristics для англоязычного канала и блога.
00:00 EPSS v3
02:54 Поддержка EPSS v3 в Vulristics
05:12 Интеграция Vulristics в Cloud Advisor
Video: https://youtu.be/kWX_64wNxbg
Video2 (for Russia): https://vk.com/video-149273431_456239122
Blogpost: https://avleonov.com/2023/04/24/vulristics-news-epss-v3-support-integration-into-cloud-advisor/
Плавно свожу OpenVAS.ru с орбиты. Пришло время очередного продления домена и в этот раз я решил его не продлевать. В прошлом году я выкладывал пост "Возрождаем OpenVAS Russia?". Это было ещё до старта канала, поэтому продублирую частично:
"В 2015 году я крепко увлекся OpenVAS-ом. Создал официальную русскоязычную User Group, зарегистрировал сайт openvas.ru, поддерживал скрипт для автоматизации сборки из исходников и управлению сканером и неофициальный виртуальный апплаенс, писал обучающие посты.
Запала у меня хватило где-то до 2017-2018. После этого немцы из Greenbone сильно переделали архитектуру, у меня разъехалась билдилка. Ну и вообще стало как-то непонятно зачем мучаться с опенсурсом, если можно сконцентрироваться на работе с западными коммерческими решениями, которые и детектирует лучше, и работать с ними приятнее.
Не добавляло энтузиазма и активность Greenbone по ребрендингу OpenVAS, чтобы он больше способствовал их бизнесу. Теперь собственно OpenVAS это один маленький проектик непосредственно относящийся к старому Nessus-у. Все остальное это сплошной ехал Greenbone через Greenbone."
Основной GVM/OpenVAS вроде и живой, и открытый, последняя стабильная версия вышла в прошлом году и скоро должна выйти очередная. Есть даже официальная документация как ставить из исходников в Debian/Ubuntu, Fedora, CentOS. С другой стороны, практическая полезность продукта стремительно снижается.
1. Сканер уязвимостей это прежде всего база детектов, в данном случае Greenbone Community Feed. И изначально этот фид был неплох. НО Greenbone сознательно вырезали из него всё, что касается корпоративного софта, например MS Exchange. "This distinction is regarded an adequate balance between community needs and commercial needs". Я время от времени делаю сравнение с Tenable Nessus, последний раз год назад, разница ощутимая, хотя и не в одни ворота. Иногда встречаю тезис "куцая у него база, но это все равно лучше, чем ничего". Возможно, но все равно перед тем как использовать инструмент нужно оценить его ограничения и понимать что ты с помощью него хочешь продетектировать.
2. Сам движок для запуска NASL скриптов. Да, NASL это история. Да, на нем было написано множество проверок. Но насколько эти проверки актуальны сейчас? Кто-нибудь это исследовал? 🙂 Кажется для Local Security Checks это далеко не оптимальное решение, когда на каждую уязвимость генерится отдельный скрипт. Кажется даже OVAL выглядит логичнее и предпочтительнее для этого, не говоря уже об API-шках для детекта и обвязках вокруг них, типа моего Scanvus. Remote Checks сейчас успешно реализуются на скриптах для Nuclei или Nmap, а ещё проще написать проверку просто на python и не сковывать себя какими-то ограничениями специализированного языка. Причем сами вендоры, которые сидят на NASL, от него потихоньку отказываются. Tenable засовывают всё значимое в .nbin, а Greenbone делают свой Notus Scanner для проверок по версиям.
В общем, OpenVAS получается чемоданом без ручки. И бросить жалко, и польза от него стремительно перестает быть очевидной. Поэтому сайт openvas.ru, для которого не было обновлений с 2017 года, я прикрываю. Выкаченную копию его прикладываю (использовал httrack). OpenVAS Russia теперь полностью живет на https://vk.com/openvas.russia. Кому хочется поучаствовать или порулить комьюнити - всегда welcome!
Вышла третья итерация Exploit Prediction Scoring System (EPSS). Пишут, что стала на 82% круче. Есть довольно прикольная и подробная статья про изменения. Например, EPSS-ники начали анализировать не 16 свойств уязвимостей, а аж 1164. Есть подозрение, что большая часть этих свойств это лейблы вендоров, как в таблице. Но выяснять как оно конкретно работает дело всё равно малоперспективное, потому что "а внутри у ней нейронка" ©. В целом, по запутанности уже похоже на Tenable VPR. Но бесплатность всё искупает. 😇 Кстати, в статье упоминают Tenable VPR и прочие коммерческие скоры и критикуют их за проприетарность, публичную недоступность и то, что они частично базируются на экспертном мнении, а не только на данных.
Поглядел выгрузку EPSS на примерах.
1. Для RCE уязвимости Word-а (CVE-2023-21716) с недавним PoC-ом EPSS очень высокий (0.16846,0.95168).
2. Для SPNEGO (CVE-2022-37958), для которого эксплоит ожидается в Q2, EPSS тоже высокий (0.07896,0.93195).
3. Для рандомной уязвимости MS Edge (CVE-2023-0696) из февральского MS Patch Tuesday (их десятки каждый месяц), EPSS низкий (0.00062,0.24659)
4. Взял наоборот уязвимость с высоким EPSS из выгрузки - CVE-2023-0297 (0.04128,0.90834). Тоже понятно почему, там ссылка на эксплоит прямо в NVD.
На первый взгляд всё вполне адекватно. 👍
То есть делать приоритизацию исключительно на основе EPSS я бы не советовал, но использовать как дополнительный фактор с весом как у CVSS Base Score (а возможно и повыше) выглядит вполне оправданным. Совсем без причины эта цифирь вверх вряд ли поползет, если она идёт к 0.9 и выше имеет смысл поглядеть на уязвимость повнимательнее. Подумываю начать учитывать EPSS в Vulristics. 😉
Сканировать принтеры на уязвимости следует с осторожностью. Классической является ситуация, когда взбесившийся принтер начинает печатать страницы крякозябр пока у него бумага в лотках не закончится. 🙂 Это значит, что кто-то натравил на принтер сканер уязвимостей с дефолтным профилем сканирования.
Некоторые Vulnerability Management вендоры вообще не рекомендуют активно сканировать принтеры. Например, в #Tenable относят принтеры к "хрупким устройствам" ("fragile devices") и рекомендуют использовать для обнаружения уязвимостей на них пассивные детекторы. Т.е. перехватывать трафик и определять по нему версию устройств и связанные уязвимости. Продвигают этим Nessus Network Monitor (NNM), бывший Passive Vulnerability Scanner (PVS), но тем не менее.
Если будете активно сканировать принтеры (например в связи с уязвимостью Lexmark-ов), покопайтесь в настройках профиля вашего сканера, там должны быть специальные опции. А лучше спросите службу поддержки вашего VM вендора.
Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider. В этом обновлении логика работы не поменялась. Все управление осталось таким же. Обновили интерфейс в стиле Win11, с которым будет приятно глазу работать. Планируют сделать и темную тему.
Конечно хотелось бы увидеть финт, который сделали Tenable c Nessus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nessus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для RedCheck.
Было бы круто увидеть web gui для MaxPatrol 8 и XSpider, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:
1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Maxpatrol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Maxpatrol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Linux текущих решений.
3. Логично было бы предположить появление нового поколения решений а-ля MP8 и XSpider, урезанных из Maxpatrol VM, когда будут достигнуты цели из п.2.
PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Windows в принципе.
На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации. В pdf бюллетене приводится подробное описание атаки. Ознакомился. Мне, конечно, было наиболее интересно собственно про Log4Shell и начальную эксплуатацию.
1. В какой организации произошел инцидент? Непонятно. Это одна из FCEB organizations. Это может быть всем известная NASA, а может быть какая-нибудь Commission of Fine Arts. Но по большей части организации в списке выглядят критично.
2. Когда нашли? В апреле 2022. Предположительное время компрометации - февраль 2022 года.
3. Как нашли? Через ретроспективный контроль трафика с помощью CISA-вской EINSTEIN IDS. Увидели ip-адрес ранее засветившийся в атаках использующих Log4Shell.
4. Как известно Log4Shell (CVE-2021-44228 заведена 10.12.2021) касается кучи продуктов, а что именно поломали? VMware Horizon. Патч вышел 16.12.2021. Детект у Tenable для этой уязвимости (без аутентификации) вышел 07.01.2022. CISA требовали зафиксить все Log4Shell уязвимости до 24.12.2021.
5. Исходя из таймлайна, в сроки CISA (7 дней по факту) уложиться было мало реально. Причем это нужно было сделать ещё до появления нормальных детектов. Но то, что не уложились даже за 1-2 месяца вплоть до успешной атаки злоумышленников это конечно неслабое нарушение. И раз такое в принципе было возможно, CISA видимо не особо контролирует VM процесс в подопечных FCEB организациях, а сроки устранения, которые они спускают через свой Known Exploited Vulnerabilities Catalog видимо по факту не выдерживаются.
Теперь давайте посмотрим на Tenable One, который представили на прошлой неделе.
Это "Exposure Management Platform". Адекватного перевода на русский для "exposure management" так и нет. Часто не заморачиваются и переводят как "управления рисками". Я тоже к этому склоняюсь. Хотя в отечественном VM-е с подачи Postive Technologies использовать слово "риск" теперь не комильфо, теперь в ходу "неприемлемые события". 🧐 С терминологией всё непросто. 🙂
Этот Tenable One это верхний уровень над 6 базовыми продуктами Tenable:
1. Tenable Lumin
2. Tenable.io Vulnerability Management
3. Tenable.io Web Application Scanning
4. Tenable.cs Cloud Security
5. Tenable.ad Active Directory Security
6. Tenable.asm Attack Surface Management
Кстати, вы видите среди продуктов Tenable.sc (Security Center), не говоря уже о Nessus? On-Prem за бортом. Развивается только облако.
Tenable One объединяет данные из этих продуктов "в единое представление, помогающее организациям получать информацию, расставлять приоритеты и сообщать о киберрисках".
А фактически помогает отчитываться перед руководством, рассказывать как там у нас вообще дела с безопасностью. 😉 "Tenable One предоставляет руководителям служб безопасности и бизнес-руководителям централизованное и ориентированное на бизнес представление о кибер-рисках с четкими ключевыми показателями эффективности (KPI)"
Что в рамках Tenable One предлагают:
1. Asset Inventory - искалка по активам. Вроде достаточно удобная. По факту GUI над эластикой. Нужна потому, что продуктов уже куча и большая часть этих продуктов это стартапы приобретенные. Без единого инструмента для управления активами никуда. Доступно в Tenable One Standard.
2. Exposure View - дашбордики для руководства. Красиво, загадочно. Есть графики, которые вверх идут или вниз и светофорчик с большой буквой-оценкой. Это по сути развитие продукта Lumin. По задумке Tenable это должно отвечать на вопросы "Насколько мы в безопасности? Где мы находимся в наших усилиях по предотвращению и смягчению последствий? Как у нас дела с течением времени и каковы ключевые события?" Доступно в Tenable One Enterprise.
3. Attack Path Analysis - для этого ещё даже обзоров пока нет. Будут как-то цепочки атак анализировать. А как они будут это делать без анализа сетевых конфигов? Они же не Skybox. Или будут с хостов будут пробовать соединения устанавливать и на этом основании делать вывод? Пока непонятно. Доступно в Tenable One Enterprise.
К релизу у них вышло 2 ролика: в одном про горы, общие слова, шутейки, а в другом про дружную команду и дайверсити. В целом, не сказать что в релизе есть что-то вызывающее wow-эффект. Скорее попытка объединить кучу разрозненных закупленных решений во что-то единое и мало-мальски юзабельное. Типа давайте хоть какую-то аналитику по собранным данным изобразим на скорую руку. Но про Attack Path Analysis было довольно интригующе, как будут подробности ознакомлюсь.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.