Архив метки: Echelon

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".

В прошлом году там было 15 вендоров, в этом 21.

🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl

Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон»

Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Курс шёл 3 недели в апреле. Занятия проводил генеральный директор АО «Эшелон Технологии» Александр Дорофеев, CISSP, CISA, CISM.

Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.

Список занятий:

1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями

Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.

Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.

Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.

Больше курсов по Vulnerability Management-у хороших и разных!

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vulnerability Management-у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM-у в России. 🔥

Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:

🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷‍♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".

В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:

🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM-а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я-то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management-а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM-а за последние 2 года стало проще из-за публичных инцидентов.

Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили - жаль. 😔

Ответы вендоров про отличия от конкурентов:

🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R-Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5-20 секунд на хост. Своя тикетница.
🔸 Spacebit/X-Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉

Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.

Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданноТрадиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅

Довольно сильно изменился состав участников.

В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»

Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision

И остались представители от:
🔹 Positive Technologies
🔹 R-Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit

Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.

Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.

Пришёл новогодний подарок от Эшелона

Пришёл новогодний подарок от Эшелона

Пришёл новогодний подарок от Эшелона. В комплекте крутейшая красная толстовка и, разумеется, легендарный календарь. 🙂

Спасибо большое, коллеги! Очень приятно. 😊
С наступающим! 🎄

НПО "Эшелон" зарелизили Сканер-ВС 6

НПО Эшелон зарелизили Сканер-ВС 6

НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.

На что можно обратить внимание в пресс-релизе:

🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5-ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.

Есть демо видео на ~8 минут. Там делают следующее:

🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe - на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)

В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍