Архив метки: Awillix

Awillix открыли приём заявок на Pentest Award 2024

Awillix открыли приём заявок на Pentest Award 2024

Awillix открыли приём заявок на Pen­test Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.

3 номинации остались с прошлого года:

🔸 Hack the log­ic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка

3 новых:

🔻 Пробив WEB (от BIZONE Bug Boun­ty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс

Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.

Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉

Подавайтесь!

Посмотрел эфир Awillix про оценку стоимости пентеста

Посмотрел эфир Awillix про оценку стоимости пентеста

Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:

🔻 Script kid­die (а кто покруче всё равно проломит 🤷‍♂️)
🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷‍♂️)
🔻 APT-группировка

После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:

🔸 Script kid­die
🛡 пентестер-джун на 5–7 рабочих дней, 200–400 тыс.р.

🔸 Хакер-одиночка
🛡 2 мидла и сениор на 15–20 рабочих дней, 400 тыс. ‑1 млн.р.

🔸 APT-группировка
🛡 3–5 сениоров и лид на >3 месяцев, 4–12+ млн.р.

Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.

➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.

Посмотрел подкаст двух Александров Герасимовых про Vulnerability Management

Посмотрел подкаст двух Александров Герасимовых про Vul­ner­a­bil­i­ty Man­age­ment. Больше контента по VM‑у хорошего и разного! 👍 Сгруппировал для себя некоторые тезисы в части VM‑а для инфраструктуры. По VM для приложений там тоже было, но мне это не так близко и я отметил, только то, что необходимо интегрировать SAST/DAST/SCA в процессы разработки и деплоя. И чтобы были secu­ri­ty approver‑ы. Не поспоришь.

По инфраструктуре:

1. Пока не выстроены базовые процессы, такие как инвентаризация активов, сегментация сети, patch man­age­ment (регулярные обновления), заниматься Vul­ner­a­bil­i­ty Man­age­ment-ом рановато. Нужно понимать какие есть активы, кто эти активы сопровождает, что эти активы из себя представляют (на уровне операционной системы и на уровне ПО), какие активы являются для организации критичными (Mis­sion Crit­i­cal, Busi­ness Crit­i­cal, Office Pro­duc­tiv­i­ty). В зависимости от этого настроить риски, недопустимые события, SLA по исправлению для типов активов и критичности уязвимостей, модель угроз ИБ.

2. Сканирования инфраструктуры недостаточно для VM-процесса. Безопасники должны выступать контролерами над уязвимостями: реагировать на критичные 0day уязвимости, отслеживать выполнение циклов регулярно патчинга со стороны IT. У актива должен быть функциональный администратор, бизнес-владелец и технический администратор. Накатывает патч технический администратор, через него идёт взаимодействие и он ответственен за патчинг. ИБ выступает как контроль и руками ничего не делает. Перед установкой патчи должны тестироваться, чтобы работа не нарушалась. При невозможности обновления используем компенсирующие меры (в т.ч. виртуальный патчинг).

3. VM на основе open source, какие могут быть проблемы? Сканеры имеют ограниченную пропускную способность, необходимо масштабировать сканеры и опредялять скоуп серверов, которые можно покрыть одним решением. Должен быть единый центр управления для разбора отчётов. Нужно понимать какие активы есть в организации и есть ли у нас средства детектирования под все типы активов (например, Ora­cle, российские ОС или сетевые устройства). От меня: основная часть VM‑а это средства детектирования уязвимостей. Если вы уверены, что можете покрыть всю инфраструктуру адекватными детектами уязвимостей с помощью бесплатного средства — замечательно. Но постарайтесь это проверить, скорее всего обнаружите активы для анализа которых вам понадобится коммерческое решение.

4. Важно, чтобы VM-продукты имели возможности по интеграции. Для снижения риска утечек паролей из VM-решения, лучше организовывать доступ к кредам для безагентного сканирования через системы а‑ля Cyber­Ark. Для отслеживания выполнения заявок на исправление уязвимостей можно использовать интеграцию с SOAR и IRP системами.

Awillix делают периметровый сервис Con­tin­u­ous vul­ner­a­bil­i­ty mon­i­tor­ing (CVM), считают это очень востребованной темой. От меня: периметровые сервисы это очень конкурентная область. Со стороны клиента важно оценивать качество детектирования, хоть делать это, как правило, непросто.

Компания Awillix учредила первую в России независимую премию для пентестеров

Компания Awillix учредила первую в России независимую премию для пентестеров

Компания Awillix учредила первую в России независимую премию для пентестеров. Подать заявку в виде "обезличенного рассказа про свой лучший проект в свободной форме" можно до 09.07 на сайте https://award.awillix.ru/. Подробности в канале @justsecurity. Дело хорошее, в жюри много знакомых лиц. 🙂 Скиньте своим коллегам из оффенсива! 😉