Архив метки: BiZone

Про наказания за утечки

Про наказания за утечки. Каждый раз, когда происходит громкая утечка персональных данных поднимается волна возмущения и призывов ужесточить наказание за это. Я не сторонник ужесточения наказания и вот почему.

1. Какие ваши доказательства? Возьмём последний кейс с Бизонами. Что мы видим? Пара скриншотов, на которых фрагменты ~50 записей. Само по себе ни о чем не говорит. Можно за пару часов по открытым данным нарисовать такие скрины и будет вполне убедительно. Даже если выложат полный дамп, где доказательства, что это не генеренка по данным из других утечек? Даже если доказано, что утечка имела место, где доказательства, что утечка произошла из конкретной организации, а не от партнёров? В общем, доказательство факта утечки это сложная процедура, это не "в одном анонимном телеграмм-канале написали". Если жёстко наказывать по сообщениям в телеге, то подставить можно будет любую организацию.

2. Вы точно хотите жёсткого наказания? Допустим доказали факт утечки из конкретной организации. В качестве наказания предлагается использовать оборотные штрафы, которые должны существенно повлиять на работу компании. Дескать тогда будут бояться и до утечек не доводить. Ну были, например, масштабные утечки из Яндекса (Еды) или СДЕКа. Вот вы правда считаете, что нам, как российскому обществу, будет лучше, если загнётся Яндекс или СДЕК? У нас много таких компаний? Нам без них лучше будет? Или если забрать у этих компаний значительную часть кэша, там уровень безопасности повысится? Вряд ли. Или, возвращаясь к Бизонам, это одна из ТОП5 ИБ компаний в РФ, если по ней ударят оборотными штрафами, значит злоумышленники, которые выполнили атаку, добились своего. Мы прям точно-точно этого хотим?

3. За каждой утечкой кроется проблема в базовых ИБ процессах, например забыли обновить уязвимый плагин в CMS-ке (и это наш любимый Vulnerability Management) или DLP не поймал инсайдера. Не стоит ли в таком случае вместо угроз мега-штрафами уделять больше усилий регуляторному контролю за этими базовыми ИБ процессами в организациях? Да, это сложнее, но цель ведь не в том, чтобы посильнее и без того пострадавшие российские компании наказать, а чтобы таких утечек стало меньше.

Я обычно утечки не комментирую, но последняя бизоновская забавная

Я обычно утечки не комментирую, но последняя бизоновская забавная. Судя по скриншотам, можно предположить, что были слиты данные специалистов-безопасников, которые ходили на оффлайн и онлайн мероприятия организованные BI.ZONE. В частности на "Q&A-сессия: указ № 250 о дополнительных мерах кибербезопасности". 🤷‍♂️ Видно имя, фамилию, место работы, рабочий email, телефон, хеш пароля.

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров

Картинка Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Непосредственно тестил Metascan и СКАНФЭКТОРИ. Решения идеологически разные, но вполне рабочие и команды очень адекватные. 👍

Предыдущая картинка по СДУИ.

Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

Позволяют детектировать известные уязвимости CVE/БДУ, мисконфигурации и (частично) неизвестные уязвимости (например XSS в самописном веб-приложении) для активов, которые публично доступны из Интернет. Для сбора информации об активах используется активное сетевое сканирование. Сканирование производится с внешней площадки вендора, что обеспечивает взгляд на анализируемую инфраструктуру как у атакующего.

Metascan. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. Позволяет детектировать уязвимости для оборудования, системных сервисов и веб-приложений. Для детектирования уязвимостей использует свой веб-краулер, модули собственной разработки и на основе свободного ПО. Позволяет проводить проверку TCP/UDP портов на соответствие белому списку. Сервис также включает экспертное сопровождение: анализ обнаруженных уязвимостей, демонстрацию PoC и команд для эксплуатации, участие в совместных планерках по состоянию сетевого периметра.

СКАНФЭКТОРИ. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. В рамках одной платформы предоставляет доступ к 16 сканерам безопасности системных сервисов и веб-приложений. В качестве дополнительной услуги возможна верификации результатов детектирования экспертами.

Group-IB - Attack Surface Management. Решение для контроля внешней поверхностью атаки. Включает возможности по инвентаризации IT-активов и детектированию уязвимостей связанных с ними. Позволяет выявлять теневые IT-активы, неизвестные в организации. С помощью решения также возможно контролировать утечки учетных записей и данных в Dark web.

BI ZONE - CPT (Continuous Penetration Testing). Решение для постоянного контроля защищенности внешнего IT-периметра организации. Сочетает автоматизированное сканирование на наличие уязвимостей и ручную верификацию найденных уязвимостей экспертами. Эксперты также сопровождают подтвержденные уязвимости рекомендациями по устранению.

МТС RED - Сicada 8. Платформа для централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени.

Запись MEPhI CTF Meetup 10.02

Запись MEPhI CTF Meetup 10.02 уже доступна. Для удобства расставил таймстемпики.

48:12 Welcome-слово. Евгений Волошин, директор по стратегии, BI ZONE
48:50 Открытие MEPhI CTF Meetup. Павел Блинников, капитан CTF-команды, SPRUSH; ENZO, community manager, BI ZONE
—-
51:38 Малварные техники Windows в Linux. Илья Титов, младший специалист TI, BI ZONE
2:16:24 ZKP: кому и зачем мы что-то доказываем. Александр Соколов, независимый исследователь
3:04:27 Пентест через призму ресерча. Данила Сащенко, старший специалист по тестированию на проникновение, BI ZONE
3:42:16 Аутопсия бинарных CTF-тасков. Георгий Кигурадзе, CTF-игрок на пенсии
4:46:33 Интересные баги из жизни пентестера. Денис Погонин, старший специалист по тестированию на проникновение, BI ZONE

Контента много, пока только урывками смотрел. Георгий Кигурадзе очень крут, интересно рассказывает и кажется вообще без понтов. 👍 Вроде раньше не пересекались, постараюсь теперь отслеживать выступления. 🙂

MEPhI CTF Meetup в эту пятницу

MEPhI CTF Meetup в эту пятницу. 10 февраля 18:00–23:00 в московском офисе BI ZONE или в онлайне.

Честно говоря, я к CTF-ам всегда как-то с прохладцей относился и практически никогда в них не участвовал. В чем смысл тратить время на эти надуманные головоломки? Берем полностью обновленную и максимально захардененную Ubuntu, зарезаем все ненужные сервисы, самописные веб-сервисы закрываем WAF-ом (а то и тоже просто зарезаем к ним доступ). Вот это таска так таска! Ну давайте теперь, ребята, атакуйте. 🙂

Но это, мягко говоря, не очень правильный взгляд на вещи. Насколько я сейчас вижу, CTF-команды, особенно университетские, это такие первичные ячейки для людей интересующихся хардкорной практической безопасностью. Причем наиболее живые и массовые. Например, в отборочном туре VI Кубке CTF России участвовало почти 298 команд (70 городов, 115 учебных заведений). Вот это размах! И это только Россия (и чуть-чуть Казахстан). Даже собрать столько заинтересованных людей это уже успех. Кроме того, участники этих команд не только ведь в соревнованиях участвуют. Они встречаются, общаются, готовятся, организуют митапы, разбирают таски с прошлых CTF-ов и т.п. И в процессе подготовки к CTF-ам происходит обучение полезным навыкам, которые затем пригодятся на работе в ресерче, пентестах, безопасной разработке, харденинге, vulnerability management-е и т.д. Этому, как правило, в ВУЗах не особенно-то и учат. А сами CTF-ы это такие практические лабораторные работы. Ещё и с мощным игровым соревновательным элементом. Круто же!

В общем, митап есть смысл заслушать. Наиболее интересными мне видятся доклады "Аутопсия бинарных CTF-тасков" и "Интересные баги из жизни пентестера".

Не грех пошарить важную новость:

Не грех пошарить важную новость:

"Тинькофф запустил публичную программу по поиску ошибок и уязвимостей в своих сервисах за вознаграждение на платформе BI.ZONE Bug Bounty. В ней могут участвовать любые исследователи безопасности из России и стран ЕАЭС."

Собственно ссылка на программу.

Что в скоупе:

"Уязвимости можно искать на всех наших ресурсах, а именно — *.tinkoff.ru, *.tcsbank.ru, *.tinkoffinsurance.ru." Но максимальные выплаты только для уязвимостей определенных сервисов.
Максимальная выплата за Critical 150 000 ₽.

За что платят:

"Ниже приведены примеры уязвимостей, за которые мы с радостью выплатим вознаграждение (список далеко не полный):

Удаленное исполнение кода (RCE);
Инъекции (например, SQL-инъекции или XML-инъекции);
LFR/LFI/RFI;
SSRF;
Утечки памяти;
Уязвимости бизнес-логики;
IDOR;
Уязвимости контроля доступа;
Раскрытие чувствительной информации;
Угон аккаунта;
Недостатки аутентификации/авторизации;
XSS и CSRF с воздействием на чувствительные данные."

Также в описании программы подробный перечень за что НЕ платят и что вообще присылать не нужно. Описание само по себе очень подробное и классное, любо-дорого посмотреть.