Архив метки: Echelon

Прочитал у коллег из Эшелона про интересный кейс

Добавить комментарий

Прочитал у коллег из Эшелона про интересный кейс

Прочитал у коллег из Эшелона про интересный кейс. В одной компании решили проверить, насколько их процесс безопасной разработки, выстроенный по ГОСТ Р 56939-2024, действительно способен выявлять и устранять уязвимости.

Эксплуатабельную уязвимость завели самостоятельно в изолированной ветке проекта в тайне от участников процесса. Это был IDOR - ненадёжная прямая ссылка на объект. Уязвимость возникает, когда приложение использует данные, предоставленные пользователем, для прямого доступа к объектам базы данных без надлежащей проверки авторизации.

Запустили код по процессу… И не поймали. 🤷‍♂️ Глазами не увидели, т.к. думали, что проверка авторизации выполняется на другом слое. 🙈 А используемый SAST такое в принципе не ловил. 🤤 Обнаружили только на пентесте. 🥷 В итоге процессы подправили, SAST-решение заменили, и стало лучше. 👍

Такие проверки неплохо бы проводить регулярно. 😉 И на инфраструктурный VM-процесс можно что-то похожее приземлить. 🤔

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025"

Добавить комментарий

Две недели назад TAdviser выпустили Карту российского рынка информационной безопасности 2025

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025". В отличие от прошлого года, на ней появилось "Управление Уязвимостями". Прогресс. 👍🙂

🔹 Управление Уязвимостями объединили с решениями по Харденингу. Поэтому в группу попали Spacebit, Кауч и ЛИНЗА, которые (пока) не про уязвимости. Всего 15 вендоров.

🔹 Осталась группа Средств Анализа Защищённости, совмещённая с DevSecOps. В ней 22 вендора. С прошлого года убрали (5): Фродэкс (Vulns io), BIFIT, RED, Crosstech, Pentestit. Добавили (6): VK Cloud, Sber Tech, Yandex, УЦСБ, Axiom JDK, Luntry. Переименовали (1): Profiscope в CodeScoring.

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы?

Добавить комментарий

Сканер уязвимостей с поиском по версиям в базе может найти все уязвимости из этой базы?

Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.

Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂

🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.

🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии = 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉 Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".

Публичная база уязвимостей Эшелон Сканер-ВС

Добавить комментарий

Публичная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВСПубличная база уязвимостей Эшелон Сканер-ВС

Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥

На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷‍♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.

Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.

Также есть ссылки на эксплоиты (не из NVD!) 🔥

В общем, круто получилось! Молодцы, Эшелон! 👍

Эшелон представили сканер уязвимостей Сканер-ВС 7

Добавить комментарий

Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7Эшелон представили сканер уязвимостей Сканер-ВС 7

Эшелон представили сканер уязвимостей Сканер-ВС 7. Они продолжают двигать собственный подход к детектированию уязвимостей:

🔸 достают версии продуктов с хостов (в т.ч. в формате cpe);
🔸 затем ищут уязвимости по этим версиям в своей базе (включающей, например, всю базу NIST NVD).

У такого подхода есть достоинства и недостатки. 😉 Но всё зависит от конкретной реализации.

На какие новые фичи Сканер-ВС 7 стоит обратить внимание:

🔹 Новая редакция Enterprise (от 256 IP) с расширенной экспертизой в части проверок мисконфигураций и с возможностью создавать пользовательские базы уязвимостей и мисконфигураций (проверки конфигураций описываются на YAML).
🔹 Проверки мисконфигураций на основе CIS-бенчмарков.
🔹 Поддержка EPSS и CISA KEV.
🔹 Галочки для указания в какой базе искать (например, только в базе Астра или БДУ).
🔹 Импорт SBOM (CycloneDX).

Старт продаж в августе.

TAdviser выпустили карту российского рынка информационной безопасности 2024

Добавить комментарий

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".

В прошлом году там было 15 вендоров, в этом 21.

🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl

Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Добавить комментарий

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.