Архив метки: education

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями

У моего коллеги Дмитрия Фёдорова, автора телеграмм-канала "Кибербез образование", вышла обновленная диаграмма треков развития карьеры в ИБ и там есть отдельный трек по Управлению Уязвимостями.

Похоже на правду, но хотелось бы расставить акценты.

1. По мне так скиллы IT-администратора для VMщика первичны, т.к. именно с админами ему придётся контактировать больше всего. Важно, чтобы они не водили его за нос.

2. Необходимо разбираться в VM-ной методологии, т.к. ваш замечательный VM процесс, построенный из соображений реальной безопасности, должен как-то биться с требованиями регуляторов. Как минимум чтобы аудиты проходить.

3. Нужны ли Offensive скиллы? Неплохо бы для базового понимания контекста того, с чем мы боремся, и более адекватной приоритизации уязвимостей. Но помогут ли эти знания в ежедневном пропушивании фиксов для уязвимостей, о которых мы знаем только пару строк описания на NVD? Да вряд ли. 🌝 VM это не про докажи-покажи. С Offensive скиллами лучше в RedTeam.

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе

3 комментария

Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе. Уже во второй раз, первый был 5 лет назад. На этот раз удалённо. По случаю обновил учебную презентацию. В отличие от материала для Бауманского курса, выделил 4 примерно равные части:

🔹 Анализ Защищённости - уязвимости и детект уязвимостей
🔹 Управление Активами - избавляемся от хаоса в инфраструктуре
🔹 Управление Уязвимостями - построение процесса с фокусом на приоритизацию уязвимостей
🔹 Управление Обновлениями - всё, что касается исправления уязвимостей и взаимоотношений с IT

В основном переработал Управление Активами и Управление Уязвимостями. Кажется, получилось неплохо сопрячь РезБез/PTшный подход, методические указания регуляторов и собственные соображения. Пойдёт и для гостевых лекций, и понятно как это с пользой расширить до 4 отдельных лекций (а то и побольше). Доволен. 🙂

Кстати, Физтех под санкциями ЕС, США, Великобритании, Японии, Швейцарии и Новой Зеландии. Достойное заведение. 🙂👍

В официальном канале PT вышел рекламный ролик курса по Управлению Уязвимостями

1 комментарий

В официальном канале PT вышел рекламный ролик курса по Управлению Уязвимостями. По сюжету злобный хацкер старается сломать инфраструктуру, но у него ничего не получается, т.к. для организации с выстроенным VM-процесом страшные зловреды превращаются в банан. 🍌🙂 В инфраструктуре, которая регулярно патчится особенно не развернёшься. 🤷‍♂️

Не, ну это, конечно, утрированно. Не от любых атак и уязвимостей VM защитит. Да и совсем почилить не получится - внедрение и поддержание VM-процесса требует усилий. Но уровень защищённости организации повысится и пожарной работы станет меньше - факт.

Так что рекомендую записаться и пройти курс. Как минимум его бесплатную вводную часть. Ну а в идеале выбить у руководства бюджет на полноценный месячный курс. Не зря же я там участвовал. 😉

Старт 29 октября.

Поучаствовал сегодня в записи онлайн-курса по Vulnerability Management-у от Positive Technologies

1 комментарий

Поучаствовал сегодня в записи онлайн-курса по Vulnerability Management-у от Positive Technologies. В отличие от Бауманского курса, где VM это один из многих модулей, в PT-шном курсе это основная специализация. Говорят, что курс практически готов. Большую часть начитали спикеры из команды Позитива. Я же немного разнообразил "взглядом со стороны клиента": про управление активами и общение с IT (фрустрацию, челобитные, докажи-покажи). Получилось в несколько более расширенном виде, чем в постах, приблизительно минут на 30 записи.

Релиз курса планируют на 22 октября. Курс будет платным, но говорят, что цена будет небольшой, только чтобы отбить затраты на разработку/съемку. Как и подкаст по VM-у КиберДуршлаг, мне эта позитеховская тема кажется очень интересной и полезной. Когда курс выйдет, планирую его тоже пройти и поделиться впечатлениями. 🙂

Темы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом Поповым

2 комментария

Темы по управлению уязвимостями для Бауманского курса записывали сегодня вместе с Павлом Поповым. Вроде получилось неплохо, близко к тому, что задумывалось изначально.

Анализ Защищённости. Я рассказал про типы уязвимостей (с примерами реализации), базы уязвимостей, способы детектирования.

Управление Уязвимостями. Эту часть поделили с Павлом.
🔻 Я рассказал про важность управления активами, руководство по управлению уязвимостями ФСТЭК, методику по оценке критичности уязвимостей ФСТЭК и рекомендательный алгоритм НКЦКИ.
🔻 Павел рассказал про подход к управлению уязвимостями в парадигме результативной кибербезопаности (РКБ): про инвентаризацию и категоризацию IT-активов; выявление, анализ, приоритизацию и категоризацию уязвимостей; устранение уязвимостей; контроль и улучшении VM-процесса.

Управление Обновлениями. Я рассказал про безусловные обновления, методику тестирования обновлений ФСТЭК, психологические аспекты общения с IT (фрустрацию, челобитные, докажи-покажи).

Субботнее утро, Бауманка, УЛК

Добавить комментарий

Субботнее утро, Бауманка, УЛК. Хорошо хоть не к первой паре. 😅

Приехал записывать модули по Vulnerability Management-у для онлайн-курса.

Как обучать Vulnerability Management-у?

2 комментария

Как обучать Vulnerability Management-у? Мне предложили поучаствовать в записи онлайн-курса переподготовки по ИБ для МГТУ им. Н.Э. Баумана в части VM-а. 🎓

Аудитория: слушатели курсов по профессиональной переподготовке и студенты ИБ-шники
Дедлайн: конец августа
Фронт работ: 3 ролика по 20-25 минут

Темы:
🔹 Анализ защищённости
🔹 Управление уязвимостями
🔹 Управление обновлениями

Объем небольшой, но можно сделать первый подход к полноценному семестровому курсу.

Пока у меня задумка такая:

1. Видео по анализу защищённости хочу посвятить тому, что такое уязвимости и техническим способам детектирования уязвимостей. Простые виды веб-уязвимостей продемонстрирую на своём старом проекте уязвимого приложения. Сканирование в режиме "чёрного ящика" рассмотрим на примере cpe-детектов в nmap с Vulners плагином. Для Linux уязвимостей (включая Docker-образы) рассмотрим бюллетени безопасности и SCAP-контент. Для Windows уязвимостей рассмотрим Patch Tuesday и поговорим о KB-шках. Цель - показать как работают сканеры уязвимостей, подсвятить какие там есть проблемы и сложности.

2. Видео по управлению уязвимостями планирую построить на той идее, что управление уязвимостями это не только их детектирование, а комплексный процесс, который должен быть выстроен в организации. Оттолкнемся от руководства ФСТЭК по организации VM-процесса. Разберем способы приоритизации уязвимостей (также на примере методики ФСТЭК). Коснёмся основных метрик, за которыми следует следить: покрытие хостов в инфраструктуре VM-процессом, выполнение SLA по исправлению уязвимостей. Поговорим о Vulnerability Intelligence и о том, что делать, когда для уязвимости нет автоматизированных детектов.

3. Видео по управлению обновлениями хочу построить вокруг идеи, что уязвимостей очень много, разбираться с каждой по отдельности накладно, а выход в том, чтобы договариваться с IT-шниками о процессе регулярного безусловного обновления систем. Это позволит VM-щикам избавиться от рутины и уделять больше времени наиболее критичным трендовым уязвимостям и уязвимостям, которые простым обновлением не фиксятся. Здесь хотелось сформулировать лучшие практики по общению с IT: распространенные уловки и способы их обойти, методы эскалации, идеи по метрикам/презентациям для руководства и т.п. Здесь же коснемся требований ФСТЭК по контролю безопасности обновлений и, как следствие, необходимости скорейшего импортозамещения IT-систем.

Собираю комментарии и пожелания в посте в ВК. 😉

Александр В. Леонов

Управление Уязвимостями и прочее