Архив метки: event

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру

PT Dephaze - умный симулятор атак на внутреннюю инфраструктуру. Посмотрел вчера презентацию этого нового продукта на Positive Security Day. В чём суть? Продукт заявлен как BAS (Breach and Attack Simulation). Но не такой BAS, который рисует теоретически возможные цепочки атак с учётом сетевой связности и продетектированных уязвимостей. Нет! Это решение непосредственно эксплуатирует уязвимости в инфре как хакер или пентестер.

Это и позиционируется как автоматический пентест, который можно запускать постоянно (а не раз в год), прорабатывая ни 1-3 вектора, а столько сколько потребуется и на всей инфре.

Можно возразить, что такая активность инфру положит. Но это не так! Очень большое внимание уделяют безопасности и контролируемости. Чтобы все сколько-нибудь опасные операции согласовывались, скоуп чётко ограничивался, действия логировались. Продукт даже "убирает мусор" за собой. 🙂

➡️ Канал разрабов

Сегодня на конференции R-Vision R-EVOLUTION

Добавить комментарий

Сегодня на конференции R-Vision R-EVOLUTION. Спасибо большое коллегам за приглашение! 🙂 Если тоже тут, приходите пообщаться про VM.

Посмотрел сессию про "discover & defend, detect & response"

Добавить комментарий

Посмотрел сессию про "discover & defend, detect & response". Идея в том, чтобы разложить ~20 продуктов Positive Technologies в вертикали для решения задач РКБ (результативной кибербезопасности) и сформировать функциональную среду, в которой продукты дополняют друг друга.

Эти вертикали неизолированные. Так MaxPatrol VM сочетается со сканером веб-приложений PT BlackBox, Container Security, MaxPatrol SIEM и MaxPatrol EDR.

В рассказе про "Узнать" делали акценты на важности:

🔻 сбора всех активов организации (через MaxPatrol VM, MaxPatrol SIEM, PT NAD и интеграции)
🔻 защиты периметра (в первую очередь от трендовых уязвимостей)
🔻 контроля конфигураций
🔻 учёта связности активов для понимания развития атаки
🔻 управления учётками и доступами
🔻 проверок на фишинг

🆕 Новый BAS продукт PT Dephaze позволяет наглядно продемонстрировать фактическую эксплуатабельность. А MaxPatrol Carbon позволяет подсветить самые критичные цепочки атак в вашей инфре.

Positive Security Day 10-11 октября: что посмотреть про Vulnerability Management?

Добавить комментарий

Positive Security Day 10-11 октября: что посмотреть про Vulnerability Management? Уже завтра в кластере "Ломоносов" стартует PSDay 2024. Это главное продуктовое мероприятие Positive Technologies. Ориентировано на заказчиков, дистрибьюторов и партнеров. Расскажут о технологической и продуктовой стратегии, что было сделано за год и что появится в ближайшем будущем.

Касательно VM-а я собираюсь смотреть и комментировать следующее:

10 октября
🔻 13:30 - 14:30 (Молекула). "Новая концепция — discover & defend, detect & response". Тут должно быть про место VM-а в современной ИБ организаций.

11 октября
🔻 11:00 - 12:30 (Молекула). Большой блок про Asset Management в контексте РКБ, Vulnerbility Management и Compliance/Configuration Management (MaxPatrol VM и HCC).
🔻 13:00 - 13:30 (Физика). Ещё один блок про Asset Management, но с фокусом на задачи IT.

Также в 13:00 - 14:00 (Корпускула) пройдёт воркшоп по аудиту активов с помощью MaxPatrol.

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии

Добавить комментарий

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии. Это в продолжение темы социальных атак.

Обещают рассказать про
🔻 современные методы и тенденции фишинга
🔻 8 бесплатных инструментов и 5 бесплатных онлайн-сервисов для предотвращения фишинговых атак

Кроме того пришлют набор awareness-памяток по ИБ.

Ну и про свои коммерческие продукты для защиты от фишинга тоже расскажут, как же без этого. 😉

Мероприятие выглядит интересно, собираюсь посмотреть и отписать по итогам. Канал "Управление Уязвимостями и прочее" в информационных партнёрах. 🙂

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3)

1 комментарий

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3). Завершаю серию постов про выступление Романа Журавлева из TS Solution и Никиты Аристова из СберКоруса на конференции СФЕРА Cybersecurity. В прошлый раз было про кастомные виджеты и прокачку MaxPatrol VM, а сейчас будет про планы СберКоруса на будущее.

Технические планы

🔸 В идеальной картине мира хотят получать в VM уязвимости из контейнеров. Тестируют PT Container Security.
🔸 Уязвимости из VM планируют передавать в Threat Intelligence. Там создастся репутационный список индикаторов компрометации, связанных с эксплуатацией уязвимостей. Этот список будет блокироваться на межсетевых экранах. Этот же список уйдёт в SOC для упрощения расследований. Уязвимости также планируют передавать в SOC (наличие некоторых уязвимостей это инцидент сам по себе и они должны мониториться 24/7 и оперативно исправляться).
🔸 Автоматизировать создание задач на ответственных в ITSM системах Jira и Naumen.
🔸 В SGRC передавать список активов и список уязвимостей на этих активах. В процессе пилотирования. Сейчас в MPVM нет функциональности по постановке задач, поэтому нужно решать это интеграциями.
🔸Хотят получать список активов из CMDB. Если актив есть в CMDB, помечаем в VM-е как легитимный. Если нет - разбираемся с Shadow IT. Также хотят обогащать активы CMDB техническими данными из VM-а.

После прикручивания интеграций к MaxPatrol VM в СберКорус могут смело сказать, что "Инвестиция нашего руководства в безопасность окупается. Продукт реально работает, на него завязано много процессов, которые делают много полезного и все счастливы, все улыбаются, даже наш коммерческий директор". 🙂

Q/A: Можно ли контролировать виртуализацию облачного провайдера (компания спрашивающего пострадала от эксплуатации такой уязвимости)? Конечно нет. По договору никто туда не пустит. [ На эту тему в КиберДуршлаге с Алексеем Лукацким было хорошо ].

Очень классное выступление, побольше бы таких! 👍 🙂

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2)

2 комментария

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2). Продолжаю отсматривать выступление Романа Журавлева из TS Solution и Никиты Аристова из СберКоруса на конференции СФЕРА Cybersecurity. В прошлый раз остановились на кастомных виджетах.

📊 Кастомные виджеты. Разработали около 50 кастомных виджетов, которые позволяют отслеживать процессы, и чуть больше 100 PDQL-запросов.

🔹 На скриншоте видны однотипные виджеты "Статистика по аудиту" для разных групп активов (ARM онлайн за 7 дней, ARM, VDI, Windows Серверы, Сетевое оборудование, 2 замазанные группы по принадлежности к системам). Возможные значения: "Аудит не проводился", "Аудит в течение 7 дней", "Аудит старше 7 дней".
🔹 Также виден виджет "Доля активов с неустраняемой уязвимостью" со значениями "Активы с устраняемыми уязвимостями" и "Активы с неустраняемыми уязвимостями".

🥄 Ложка дёгтя - непобеждённая проблема. При серьёзной нагрузке выяснилось, что не справляется база данных PostgreSQL. Полной победы за год не достигли, как временное решение в 4 раза увеличили ресурсы. 🤷‍♂️

🚙 Прокачка MaxPatrol VM

"MaxPatrol VM как метафорические Жигули. Свою базовую функцию он выполняет: активы ищет, уязвимости рассчитывает. Но дальнейший процесс [тюнинга] никогда не закончится. Его абсолютно точно есть куда развивать, у него много возможностей. Дальше будет как превратить Жигули в Мерседес, при том что Мерседес для каждой компании будет свой".

[ От себя скажу: полностью согласен. Vulnerability Management - это прежде всего процесс выстроенный с использованием какого-либо продукта. Считать, что купил продукт и всё само заведётся, а в компании сам собой появится рабочий процесс довольно наивно. Нужно работать, затачивать его под себя. С другой стороны, базовую функциональность по работе с активами, уязвимостями, аналитике тоже недооценивать не следует. Если она в продукте так себе, то будет классическое "мусор на входе - мусор на выходе". ]

🔻 Показали схему Security Gate по выводу продуктов на периметр, включающий проверки AppSec (проверка кода) и инфраструктурного VM-а. Про то, что эти 2 направления имеют пересекающиеся функции в рамках, например, DAST сканирования, я писал ранее.
🔻 "В MaxPatrol VM неплохой модуль BI (Business intelligence)". Считают покрытие сканированиями, покрытие СЗИ (антивирусы и EDR для Linux и Windows), динамику уязвимостей за неделю.
🔻 Контроль активов: контроль работы служб СЗИ (запущена и добавлена в автозапуск), контроль состава установленного ПО (нелегитимное, нежелательное), дубликаты активов, переустановки ОС, SSH (контроль перевода на аутентификацию по ключам), свободное место на жёстких дисках (выгружают за 5 минут).
🔻 Контроль пользователей: привязка администраторской УЗ к АРМy, контроль сеансовой работы под УЗ с правами администратора (контроль активных пользователей; админская учётка должна использоваться только для повышения привилегий, а не для постоянной работы), контроль нелегитимных прав локального администратора (завели резервную учётку или временная учётка стала постоянной), смена пароля после киберучений (для попавшихся на учебные фишинговые рассылки).
🔻 Инциденты ИБ ("MaxPatrol VM - это осколок от MaxPatrol SIEM, какие-то инциденты можно смотреть в VM-е"): сотрудник снял образ своего АРМ-а и развернул виртуальный АРМ из образа на своём личном ноутбуке и с него работал (проверка по ID установки и является ли хост виртуалкой), подключение по RDP в обход PAM (контроль коммерческого SOC).

Заключительная третья часть будет про планы по развитию VM-процесса в СберКорусе.

upd. Третья заключительная часть