Архив метки: CTEM

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями

Добавить комментарий

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями

Поделюсь впечатлениями от прошедшей вчера конференции Территория Безопасности, на которой я выступал и был модератором секции, посвящённой управлению уязвимостями и экспозициями. На мой взгляд, Территория Безопасности - лучшая на текущий момент независимая конференция по информационной безопасности в России. Независимая в том смысле, что за ней не стоит какой-то один вендор или организация. И в то же время это масштабное мероприятие с разнообразной деловой программой (4 параллельных трека!) и множеством вендоров, представленных в выставочной части. Деловая программа фактически формируется усилиями комьюнити, и каждая ИБ-специализация имеет там своё место и возможность пересечься в одном зале, чтобы обсудить актуальные темы и то, что действительно наболело.

Я приложил руку к составлению VM-ной части программы, о которой писал ранее. Как по мне, всё прошло отлично, докладчики выступали бойко, отрепетированно и укладывались в достаточно жёсткий тайминг. Времени всегда хочется как можно больше, но, с другой стороны, такие ограничения (~1,5 часа на все про все) стимулируют делать секцию как можно более динамичной.

🔹 Приятно, что наш "позитеховский" взгляд на Exposure Management, сформулированный мной и продемонстрированный (очень подробно и наглядно 👍) Константином Маньяковым, был хорошо воспринят как представителями клиентов, так и представителями других VM-вендоров.

🔹 Хотелось бы отметить замечательный, динамичный и остроумный доклад Кирилла Евтушенко, генерального директора Кауч, с критикой функциональности по детектированию мисконфигураций в Nessus. Мне, как бывшему активному комплаенсописателю с опытом в .audit- и NASL-скриптинге, эта тема была особенно близка и интересна. 🔥

🔹 Хотелось бы поблагодарить Кирилла Сорокина, директора департамента защиты приложений ПАО «Вымпелком» (Билайн), и Романа Мустаева, начальника отдела обеспечения безопасности инфраструктуры АО «Национальная страховая информационная система», за взгляд со стороны компаний-клиентов различного масштаба. Коллеги очень здорово сбалансировали наш вендорский междусобойчик, подсветив актуальные проблемы существующих решений по работе с уязвимостями (в широком смысле 😉).

🔹 Огромная благодарность Дмитрию Чернякову, директору по развитию продуктов АО «АЛТЭКС-СОФТ» (RedCheck), за участие в дискуссии. Очень рад, что наши взгляды по VM-ным вопросам, как правило, в значительной степени совпадают. 🤝

В выставочной части в этом году стендов VM-вендоров было поменьше, чем в прошлом. Но тем не менее было много интересного.

🔻 Этот год был отмечен полноценным участием в выставке Positive Technologies с большим и красивым стендом, посвящённым именно продуктам для работы с уязвимостями/экспозициями (XSpider PRO, MaxPatrol VM, MaxPatrol HCC, MaxPatrol Carbon). Интерес был большой, и наш PT-шный десант очень активно поработал на стенде. 👍

🔻 На стенде RedCheck я потестировал интерфейс нового RedCheck VM. Выглядит симпатично. Понравилась фишка с назначением конкретных уязвимостей на ответственных. Фактически таски "один хост - одна уязвимость". Постараюсь сделать отдельный пост про это.

🔻 Интересно пообщался на стендах EASM-вендора DeteAct, compliance/hardening-вендора Кауч, "российского Skybox" MIST Insight.

Организовано мероприятие было, как всегда, отлично. 💯 По технике всё работало как надо. Кормили вкусно, и еды было в избытке. Всё способствовало приятному и полезному деловому общению. Организаторы и лично продюсер конференций Екатерина Митина - большие молодцы! Спасибо Территории Безопасности, и надеюсь, что до встречи в следующем году!

Пара слов про Security Summit, на котором я вчера выступал с докладом про эволюцию Vulnerability Management-а в Exposure Management

Добавить комментарий

Пара слов про Security Summit, на котором я вчера выступал с докладом про эволюцию Vulnerability Management-а в Exposure Management

Пара слов про Security Summit, на котором я вчера выступал с докладом про эволюцию Vulnerability Management-а в Exposure Management. Конференция получилась отличная. 👍 Новенький Palmira Art Hotel - весьма комфортен для мероприятий на ~200 человек. Организация от NWComm на высоте: как на этапе планирования, так и на самой площадке. Дельный инструктаж, отличный экран, таймер и спикерский монитор на сцене, надёжно работающий кликер и микрофоны - так бывает не всегда, и я это очень ценю. 🙏 Кормили вкусно. 🍔😋

Моё выступление прошло хорошо. Людей было прилично, слайды фоткали, задавали интересные вопросы: про харденинг и exposure management; про конкурентов в сегменте CTEM в России. 😉 Считаю, что свои целевые мессаджи я донёс успешно. 😌 Отдельно хочу поблагодарить за модерацию Ивана Макарова из MFASOFT. Очень здорово и строго по таймингу. 👏⌚️

Кулуарное общение было приятным и продуктивным. 🙂

Продолжим обсуждать Exposure Management уже в следующий четверг, 2 апреля, на Территории Безопасности. 😉📅

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit "Стратегия и тактика информационной безопасности"

Добавить комментарий

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit Стратегия и тактика информационной безопасности

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit "Стратегия и тактика информационной безопасности". У меня там будет короткий доклад про эволюцию Vulnerability Management-а в Exposure Management. Буду рассказывать про то, как мы все жили не тужили где-то с начала нулевых: детектировали и приоритизированно устраняли уязвимости и мисконфигурации, называя это "Управление Уязвимостями". А потом бац - в 2017 году маркетологи Tenable придумали для позиционирования своих решений на рынке использовать вместо уязвимостей слово "exposures" - максимально обтекаемое и неконкретное даже на английском, а тем более при попытках перевести его на русский. И эти самые "exposures" настолько зашли консалтерам из Gartner, что где-то с 2022 года они стали использовать их в хвост и гриву в рамках своей концепции "продвинутого VM-а" под аббревиатурой CTEM (Continuous Threat Exposure Management). И т.к. Gartner в деле ИБ-шного маркетинга могущественны и влиятельны, то сейчас на Западе VM практически закончился. 🤷‍♂️ У всех бывших VM-вендоров сплошной CTEM через CTEM, естественно определяемый так, как конкретному вендору выгодно. 😏 И, соответственно, масса сопутствующей маркетинговой активности: новые продуктовые ниши для решений (EAP, AEV, VPT, EASA, CAASM, APM, APA, BAS, Auto PT, CART, APS, TIP, DRPS, ASCA, X-SPM - можно подумать, что я рандомно стучу по клавиатуре, но нет 😅), новые квадранты, масса аналитики на тему (полезной и не очень). Работают люди! 😉

И тут, глядя на это западное маркетингово-консалтинговое пиршество духа из подсанкционной России, возникает вопрос: игнорировать его или интерпретировать (желательно не сильно противореча оригиналу) и попытаться извлечь некоторую практическую пользу (чтобы EM не выхолостился просто в модный синоним VM-а). Учитывая, что мы чай не в лесу живём, игнорировать не выглядит хорошим вариантом - всё это так или иначе сюда придёт и будет использоваться. Получается, следует включаться в это использование, чётко определяя, что такое exposures (экспозиции, "уязвимости в широком смысле"), что такое Exposure Management ("управление экспозициями"), что такое CTEM ("непрерывное управление экспозициями с учётом угроз") и какая функциональность для этих классов решений является ключевой и приносящей реальную пользу.

В общем, примерно таким будет выступление. Заглядывайте на мероприятие, пообщаемся. 🙂 Positive Technologies - генеральный партнёр, поэтому на стенде про PT-шный взгляд на CTEM тоже расскажем и покажем продукты, которые его реализуют. 😉

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)

Добавить комментарий

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement)

На прошлой неделе у Jonathan Risto из SANS был занимательный пост о том, что на самом деле определяет, будет ли процесс Управления Уязвимостями/Экспозициями работать в организации или нет - это наличие эффективного принуждения к исполнению (enforcement). Jonathan описывает ситуацию, когда в организаций вроде как есть всё необходимое для нормального VM/EM процесса: сканеры, дашборды, SLA, процессы эскалации. Но принуждение к исполнению в организации слабое, и система постепенно адаптируется: дедлайны превращаются в рекомендации, ответственность ("ownership") становится предметом обсуждений, а принятые риски годами не пересматриваются ("stops being revisited"). 🫠 При этом вроде какая-то активность есть, но экспозиции практически не устраняются, растёт exposure debt.

Что имеет смысл делать в такой ситуации VM/EM-специалисту?

🔊 Попробовать достучаться до руководства. Подсветить управленческую проблему: решения принимаются, но не исполняются, поэтому экспозиции не снижаются и это приведёт к инцидентам.

📝 Формализовать всё. Фиксировать владельцев активов, конкретные задачи по исправлению, этапы исправления, risk acceptance, нарушения SLA и т.д. Это делает процессы максимально прозрачными и вы, как VM-щик, с меньшей вероятностью окажитесь "крайними".

🎯 Фокусироваться на реальном риске. Если всё не исправить, закрывать то, что действительно эксплуатируется (в первую очередь трендовые уязвимости) на наиболее критичных для бизнеса системах.

🚪 Если система не меняется - задуматься о смене работы. Это весьма грустно, но если в организации сплошная "электрификация" ("всем всё до лампочки" 😉), снизу это исправить практически нереально. А вот стать в итоге "козлом отпущения" можно запросто. Обязательно это учитывайте.

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM)

Добавить комментарий

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM)

В самом конце прошлого года, 30 декабря, был опубликован приказ ФСБ № 554 от 26 декабря, устанавливающий требования к средствам противодействия компьютерным атакам (КА) на КИИ, среди которых есть средства предупреждения КА - фактически средства Непрерывного Управления Экспозициями с Учётом Угроз (CTEM). По сравнению с приказом № 196 (06.05.2019), требования стали яснее и лаконичнее. 👍

Решение должно реализовывать (п.13) "сбор и обработку сведений об уязвимостях и недостатках в настройке ПО, а также справочной информации", обработку этой информации и формирование рекомендаций по минимизации угроз.

Помимо уязвимостей и мисконфигов необходимо собирать (п.14) инфу об инструментах атак, тактиках и техниках, малварях, IOC-и, репутацию IP/доменов/адресов email, C&C и ботнетах и т.д. Все сведения должны (п.15) агрегироваться, коррелироваться и визуализироваться в форме графов.

Есть требования к поддержке актуальности данных и возможности интеграций.

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Добавить комментарий

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций. Тогда логично было бы определить Continuous Threat Exposure Management (CTEM) как некоторую разновидность Exposure Management с акцентом на

🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.

🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.

Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉

CTEM и паровозик хайпа

Добавить комментарий

CTEM и паровозик хайпа

CTEM и паровозик хайпа. Алексей Лукацкий подключился к дискуссии про CTEM. Мне понравился тезис, что для Gartner-а генерация всё новых аббревиатур для продуктовых ниш "один из вариантов выделиться и задавать тон на рынке, чтобы потом все на них ссылались". Кроме того, они так расширяют темы для регулярных исследований рынка и квадрантов. 💰 Сами ниши формируют, сами исследуют, сами консультируют по ним - удобно. 🙂

А почему вендоры начинают кричать, что у них CTEM?

🔹 Они хотят в квадрант. А для входа нужно позиционировать продукты как CTEM. 😏

🔹 Это практически ничего не стоит для разработки, т.к. отличительные фичи CTEM-а размыты и уже реализованы в той или иной мере во всех зрелых VM-решениях на рынке. 🙂

Вот и цепляют вендоры свои вагончики к гартнеровскому паровозику. 🚂

Клиентам придавать большое значение аббревиатуре "CTEM" в описании продукта я бы не советовал. Обращайте внимание на качество реализации базовой функциональности, необходимой для построения VM-процесса.