Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.
Материалы бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Курс шёл 3 недели в апреле. Занятия проводил генеральный директор АО «Эшелон Технологии» Александр Дорофеев, CISSP, CISA, CISM.
Как по мне, получился неплохой курс для начинающих. Демонстрация детектирования уязвимостей там, конечно, на Сканер-ВС 6, но по большей части контент курса можно считать вендерно-нейтральным и он будет полезен всем начинающим VM-специалистам.
Список занятий:
1. Методика тестирования защищенности
2. Интернет-разведка (OSINT)
3. Поиск уязвимостей
4. Эксплуатация уязвимостей
5. Отчет по тестированию
защищенности
6. Организационные аспекты управления уязвимостями
Видеозаписи занятий выкладываются в плейлисты учебного центра «Эшелон» на YouTube, RuTube и ВКонтакте. На данный момент доступны записи первых четырёх занятий.
Слайды я по согласованию перезалил в свой канал из канала @EchelonEyes, чтобы всё было в одном месте. Это крутой канал с новостями по ИБ, сам подписан и вас приглашаю подписаться.
Обращаю внимание, что не весь контент курса отражён на слайдах! Например, на слайдах по эксплуатации описан только брутфорс паролей, а на видео ещё разбирается эксплуатация уязвимости с помощью метасплоита. Так что лучше смотрите видео.
Больше курсов по Vulnerability Management‑у хороших и разных!
Разобрал заметки про эфир AM Live по Vulnerability Management‑у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM‑у в России. 🔥
Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:
🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".
В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:
🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM‑а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я‑то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management‑а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM‑а за последние 2 года стало проще из-за публичных инцидентов.
Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили — жаль. 😔
Ответы вендоров про отличия от конкурентов:
🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R‑Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5–20 секунд на хост. Своя тикетница.
🔸 Spacebit/X‑Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉
Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.
Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂
Традиционный эфир на AM Live по Vulnerability Management‑у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅
Довольно сильно изменился состав участников.
В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»
Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision
И остались представители от:
🔹 Positive Technologies
🔹 R‑Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit
Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.
Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.
Пришёл новогодний подарок от Эшелона. В комплекте крутейшая красная толстовка и, разумеется, легендарный календарь. 🙂
Спасибо большое, коллеги! Очень приятно. 😊
С наступающим! 🎄
НПО "Эшелон" зарелизили Сканер-ВС 6. Это первая версия Сканер-ВС, которая не использует в качестве движка OpenVAS/GVM. К слову о том, стоит ли вам использовать OpenVAS/GVM для сканирования инфраструктуры, если даже эшелоновцы, у которых опыт использования и модификации этого опенсурсного решения был очень большой, в итоге от него отказались и сделали свой движок.
На что можно обратить внимание в пресс-релизе:
🔹 Сканер-ВС используют 5000 организаций в России. Это, видимо, по 5‑ой версии.
🔹 Заявлена функциональность по управлению активами, в том числе с назначением уровня критичности узлам и инвентаризацией ПО.
🔹 База уязвимостей на основе NVD, БДУ и вендорских бюллетеней ("Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др."). Детект идёт хитрым быстрым поиском по этой базе "без скриптов". Где-то это наверняка cpe-детекты, где-то поиск по версиям пакетов. Это самая интересная часть и, естественно, самая закрытая.
🔹 Подчёркивают, что у них есть разнообразные брутилки.
🔹 Есть комплаенс-режим для Windows и Linux.
🔹 Работают под Astra Linux 1.7. Доступно в виде Docker Compose или ISO Live USB образа.
🔹 Стандартные фичи: API, запуск по расписанию, ежедневное обновление базы, лицензия по контролируемым активам (без привязки к конкретным хостам), триалка на 2 месяца и 16 IP.
Есть демо видео на ~8 минут. Там делают следующее:
🔻 сканят сетку
🔻 создают теги и назначают их хостам
🔻 сканируют хосты "черным ящиком" с построением карты сети
🔻 по результатам сканирования "чёрным ящиком" ищут уязвимости в NVD (по cpe — на вкладке показывают результаты cpe-match) c подсветкой уязвимых активов на карте сети
🔻 заводят SSH пользователя для актива с аутентификацией по паролю (у пользака есть опции аутентификации по ntlm, kerberos и ключам)
🔻 cканируют хост Ubuntu с аутентификацией (учётка берётся из актива)
🔻 брутят ssh пароль пользователя для актива
🔻 проводят комплаенс-скан ("Аудит") актива, для Ubuntu выполняется 10 проверок (опции монтирования файловых систем, auditd, sudo, требования к паролям, блокировка пользователя при неудачных попытках входа)
🔻 выпускают отчёт (html, pdf)
В целом, прикольный сканер вроде получился. Понятное дело, что со своими ограничениями. Перед закупкой следует его тщательно тестировать, в особенности обращать внимание на качество детектирования уязвимостей и принципиальные возможности детектирования (про сканирование сетевых устройств с аутентификацией, например, ничего не пишут). Но видно, что продукт получился самобытный и интересный. 👍
Закончилась пора ЕГЭ. Начали задавать вопросы по поводу учёбы на безопасника в МГТУ им. Баумана (ИУ8). 🙂 Я учился в 2003–2009. Остался доволен. Ну так-то сложно быть недовольным, когда поступил довольно неожиданно и легко (собеседование для медалистов — была такая тема 😉), учился на бюджете, отсрочка от армии, военная кафедра, гос. диплом. Да ещё при этом научили чему-то полезному и дали неплохой начальный нетворкинг! Это ж просто праздник какой-то! 🤩
Нравилась ли мне программа обучения? Местами да, местами не особо. Часто говорят, что много лишних предметов. Как по мне, экология, валеология (!), философия, история это же всё чтобы мозги немного расслабились. Никаких проблем с этими предметами, естественно, не было. Основная жесть это была дискретка под разными соусами в конских количествах практически все 6 лет. Особенно Жуковы на первых курсах. 😱 До сих пор иногда снится, что мне её сдавать. 😅 Нужно ли было так много? Не знаю, возможно криптографам и нужно. Сейчас вроде появилась специализация с меньшими объемами математики и простым смертным стало чуть полегче. От предметов, которые преподавали Эшелоновцы у меня самые приятные воспоминания остались, особенно от курса ТОИБАС Валентина Цирлова и курса по выбору на основе CISSP CBK Алексея Маркова. Вот это действительно было полезно и отражало то, чем обычно безопасники в реальной жизни занимаются. Программирования можно было и побольше, а курсы по ОС и сетям были неплохие.
В целом же, что касается каких-то практических навыков, то тут мне кажется важнее найти развивающую первую работу на старших курсах или участвовать в дополнительных обучающих программах. В случае МГТУ это Образовательный центр VK или ISCRA. Конечно, было бы здорово, если бы основная программа была более полезной практически, чтобы не приходилось добирать на стороне, но тут всё упирается в образовательные стандарты. Поэтому я не сказал бы, что в Бауманке прямо идеальная программа обучения ИБшников, но сильно сомневаюсь, что где-то в России их готовят лучше.