Архив метки: ALTXSOFT

Разбираю ответы на мои вопросы с эфира AM Live по Vulnerability Management-у

5 комментариев

Разбираю ответы на мои вопросы с эфира AM Live по Vulnerability Management-у. Часть 1/3. Доступность баз детектов уязвимостей для анализа.

Вопрос был такой:

> 1. Вы предоставляете информацию об уязвимостях (идентификаторы CVE, БДУ), которые может детектировать ваше VM-решение, чтобы клиенты (текущие и потенциальные) могли оценить полноту базы детектов вашего VM-решения?

Зачем я задавал этот вопрос? Хотелось бы делать сравнения отечественных средств детектирования уязвимостей, также как я делал сравнения для Nessus и OpenVAS. Но тут проблема - нет публичных данных, перечней детектируемых CVE-шек для сравнения.

Вопрос задали и на него начали отвечать в 1:00:38:

"Есть у нас вопрос от Александра Леонова, как раз в тему. А насколько вы предоставляете информацию об уязвимостях, которые ваше решение детектирует? Т.е., проще говоря, ваша база данных уязвимостей…"

Вопрос задан достаточно точно, но не полностью, т.к. сразу не обозначена цель для чего это нужно - оценка полноты базы знаний об уязвимостях. Это дало уважаемым представителям VM-вендоров пространство для маневра. 😉

Positive Technologies: "В нашем решении в VM-е можно с помощью фильтра вывести все уязвимости, которые есть. Если не ошибаюсь, их сейчас там около 100.000, близко к этому. И в режиме real time можно посмотреть какие есть, можно точечно уязвимость проверить. Поэтому никаких секретов в этом нет."

Т.е. список уязвимостей получить можно, если у вас есть приобретенное решение MaxPatrol VM. Или, возможно, если вы запросили эту информацию в ходе пилотного проекта. Какого-то публично доступного файла с детектируемыми CVE-шками нет.

АЛТЭКС-СОФТ: "У нас собственный репозиторий уязвимостей, который могут смотреть все пользователи мира. Наша база данных сканера доступна не только пользователям продукта, но и любому человеку".

Подчеркивается, что одно дело доступность для клиентов, другое публичная доступность. И для АЛТЭКС-СОФТ это действительно в большей степени справедливо - есть поисковый интерфейс OVAL репозитория. В вебинтерфейсе видны уязвимости и их идентификаторы. Но какой-то возможности выгрузить всё для изучения ведь там тоже нет. Только если сделать робота, который всё это сграбит через веб-интерфейс.

Эшелон: "У нас консолидированная база уязвимостей, можно проверить наличие любой уязвимости, которая только вышла. Обновления ежедневно".

Список уязвимостей Сканер-ВС 6 доступен для клиентов, но не является доступным публично. В случае Эшелона дать список всех детектируемых уязвимостей сложно, т.к. для детекта используется поиск по базе. Допустим VM-вендор взял NVD и ищет в ней по продуктовым cpe-идентификаторам. Спроси его: какие он уязвимости может детектить? Да он сам не знает. В принципе всё, что в NVD есть может в каком-то случае найтись. Правда не любые cpe могут прийти на вход от средства инвентаризации. Но поиск может идти не только по cpe. Поэтому получить перечень потенциально детектируемых уязвимостей затруднительно.

Дальше были попытки вывернуть обсуждение в сторону некоторого общего процесса обмена данными по детектируемым уязвимостям между VM-вендорами, но тщетно. Конечно VM-вендорам обмениваться такими данными смысла нет.

Хорошо, что вопрос взяли в обсуждение. Плохо, что не задали четко в лоб: "где ваши публичные данные о детектируемых уязвимостях, доступные для стороннего анализа?" Чтобы получить ответы: "да вот они" или "их нет и вот почему". 🙂 Имхо, основная причина почему их нет в опасениях, что публично доступная информация о НЕдетектируемых уязвимостях может использоваться в маркетинговых бэтл-картах конкурентов. И зачем так делать и дискутировать о возможностях детектирования разных решений, если можно не делать. 😉 Хотя для развития качества детектирования уязвимостей это было бы крайне полезно.

Пока спасение утопающих — дело рук самих утопающих. Запрашивайте данные и делайте сравнение баз детектируемых уязвимостей непосредственно в ходе пилотных проектов. Обращайтесь или используйте мои наработки в проекте VulnKBdiff.

CIS OVAL Repository съехал на GitHub

1 комментарий

CIS OVAL Repository съехал на GitHub. Обнаружил, что в феврале этого года CIS настроили редирект с oval.cisecurity.org на github.com/CISecurity/OVALRepo. И это так себе новость, т.к. похоже проект окончательно загнулся и CIS утратили к нему интерес. По случаю хочется сделать небольшой экскурс в историю.

Начиная с 2005 года, развитием OVAL (Open Vulnerability and Assessment Language) занималась корпорация MITRE. Как артефакт тех времен остался сайт https://oval.mitre.org/. Там была подробная адекватная документация. Был открытый интерпретатор для OVAL (OVALdi). Был реестр совместимых продуктов. Одним из этих совместимых продуктов там значится сторонний OVAL репозиторий Positive Technologies (ныне не работает, можно в архиве глянуть), я приложил к нему руку. 😉 Ещё прикольная строчка это ALTX-SOFT RedCheck как OVAL-ный сканер.

Ещё там был центральный репозиторий, в который можно было контрибьютить OVAL контент. А компаниям, которые больше всех этим занимались, давали Top Contributor Award. Можно посмотреть, что с 2012 года до 2015 года топовым контрибьютором был наш отечественный ALTX-SOFT.

В 2015 в MITRE что-то произошло. Видимо что-то связанное с финансированием. Всю эту OVAL-ную тему начали резко сворачивать. Разработчики разбежались. Сам стандарт ушел в NIST и кое-как поддерживается теперь в рамках SCAP. А центральный репозиторий отдали в CIS (Center for Internet Security). Веб-репозиторий кое-как повторили. Но на этом всё и закончилось. Какого-то развития от CIS больше не было. Даже Top Contributor Award не восстановили. И вот сейчас даже веб-страницы OVAL Repostory убрали с сайта CIS, сделали редирект на GitHub. И на сайте CIS-а упоминания проекта OVAL Repostory больше нет. 🤷‍♂️

А в самом репозитории на GitHub практически нет свежих коммитов. Какие-то коммиты есть только по дефинишенам для уязвимостей. Но, например, более-менее массово уязвимости Windows добавляли последний раз в июне прошлого года.

Почему загнулся центральный репозиторий OVAL контента MITRE/CIS?

1. Пока проект был в MITRE он был достаточно живой. Очевидно потому, что были люди, которые работали над ним на фулл-тайм за гос. финансирование. Как минимум, они неплохо драйвили работу с комьюнити, минутки встреч OVAL Board было интересно почитать.
2. CIS в принципе были мало заинтересованы в этом проекте. Основное у них это CIS Benchmarks и CIS Controls. Да, они используют OVAL-контент для проверок конфигураций Windows хостов в CIS CAT, но и только.
3. Vulnerability Management вендоры не заинтересованы контрибьютить свои детекты уязвимостей. Даже если они у них есть в виде OVAL. Да, для части вендоров интересно было получать Top Contributor Award и использовать это в маркетинге. Но и они в основном контрибьютили не детекты уязвимостей, а детекты установки софтов. Зачем отдавать в открытый доступ то, что могут использовать другие VM-вендоры?
4. Вендоры ОС теоретически могли бы отдавать свой OVAL-контент, но их к этому не обязывали. А генерить полностью свой контент проще чем реюзать существующие объекты в общем репозитории: убирать дубли, разрешать конфликты в описании и т.п. Да и вендоры ОС без внешней стимуляции не особо стремились поддерживать OVAL контент. Взять Microsoft. Когда была программа FDCC/USGCB по контролю инфраструктуры федеральных агентств, они выпускали свой OVAL/SCAP контент. А как только программа прекратилась, перестали.

Так что если наши регуляторы захотят повторить что-то подобное, лучше сразу продумать мотивацию всех участников. 😉

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров

3 комментария

Картинка Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.

Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

1 комментарий

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.

АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.

Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux

2 комментария

Бесплатный сканер уязвимостей для Linux от ФСТЭК + OVAL контент для Linux. Продолжаю обозревать крутые штуки от ФСТЭК.

У меня в декабре был пост, что если бы я был регулятор, то обязал бы вендоров сертифицированных Linux-ов привести в порядок бюллетени безопасности, а идеально было бы OVAL контент предоставлять. Так как это делает RedOS. И в каком-то виде это осуществилось. 🤩 Ну не силами Linux-вендоров, а силами ИБ-вендора и регулятора. И с существенными ограничениями. Но факт - вот тебе OVAL-контент для сертифицированных Linux-ов в паблике и бесплатный сканер, который с ним работает.

На сайте ФСТЭК-а выложили бесплатный локальный сканер уязвимостей ScanOVAL в версиях под Linux (раньше был только под Windows). И OVAL-контент к нему. В трёх вариантах:

1. ScanOVAL для ОС Astra Linux 1.6 SE - тестовая версия сканера и OVAL-контент
2. ScanOVAL для ОС Альт 9 - тестовая версия сканера и OVAL-контент
3. ScanOVAL для ОС Роса «Кобальт» - тестовая версия сканера (OVAL-контент пока недоступен)

ScanOVAL это, конечно, не вполне полноценный сканер. Он может сканировать только локалхост. Штатно запускается только в графическом режиме. Т.е. использовать его, чтобы вручную валидировать уязвимости на хостах получится, а приспособить для регулярного сканирования всей инфры скорее всего нет. Понятно зачем сделано, этот продукт не должен рушить бизнес VM-вендорам.

Другой вопрос, который естественно возникает, когда видишь OVAL-контент в паблике, а можно ли его использовать не в составе ScanOVAL? 😏 Например, OpenSCAP-у скормить, свой OVAL сканер написать или интерпретировать во что-нибудь? Ответ: технически реально, а юридически нельзя, т.к. EULA для ScanOVAL это отдельно оговаривает:

"Не допускается осуществлять следующие действия:

использовать ПО и (или) описания проверок (включая любые их фрагменты), применяемые в ее составе, с целью создания баз данных или кода, предназначенных для предотвращения угроз безопасности информации;
публиковать, а также распространять от своего имени любые фрагменты описаний проверок, применяемых в составе ПО;
…"

Тоже понятно почему. Идентификаторы дефинишенов, такие как "oval:ru.altx-soft.nix:def:156318", не оставляют сомнений в происхождении контента и понятно, что рушить свой бизнес коммерческому VM вендору совсем не нужно.

Поэтому,
1. Круто, что появилась возможность сканировать сертифицированные отечественные Linux-ы бесплатным решением. Даже если использовать его только в ручном режиме как эталонный сканер, это более чем полезно.
2. Потребность в OVAL-контенте (или просто бюллетенях хотя бы) от Linux-вендора это не снимает, т.к. EULA конечно полноценно использовать контент для ScanOVAL не позволяет, к сожалению.

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Добавить комментарий

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider. В этом обновлении логика работы не поменялась. Все управление осталось таким же. Обновили интерфейс в стиле Win11, с которым будет приятно глазу работать. Планируют сделать и темную тему.

Конечно хотелось бы увидеть финт, который сделали Tenable c Nessus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nessus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для RedCheck.

Было бы круто увидеть web gui для MaxPatrol 8 и XSpider, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:

1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Maxpatrol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Maxpatrol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Linux текущих решений.
3. Логично было бы предположить появление нового поколения решений а-ля MP8 и XSpider, урезанных из Maxpatrol VM, когда будут достигнуты цели из п.2.

PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Windows в принципе.

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

1 комментарий

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.