Архив метки: event

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

Мой доклад на PHDays Кризис NVD и светлое БуДУщее пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.

В рамках доклада рассмотрим:

🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.

Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).

upd. 22.05 Обновил время начала

Выступление и дискуссия на PHDays 2024

Выступление и дискуссия на PHDays 2024

Выступление и дискуссия на PHDays 2024. В этом году я заявил на CFP рассказ про кризис в NVD (честно говоря, я предполагал, что к маю он закончится, но куда там 🌝) и развитие ресёрча уникальных уязвимостей БДУ. 👨‍💻

Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤

Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:

🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷‍♂️

🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?

🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?

В общем, приходите, должно получиться интересно. 🙂

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями
Завтра на CISO Forum будет часовая сессия по Управлению УязвимостямиЗавтра на CISO Forum будет часовая сессия по Управлению УязвимостямиЗавтра на CISO Forum будет часовая сессия по Управлению Уязвимостями

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями. И ещё парочка релевантных докладов в сессии Практическая Безопасность. Я сам, к сожалению, в этом году на мероприятие не попадаю. Но очень радует, что всё больше российских конференций делают выделенные сессии по VM-у. Раскачивается тема понемногу. 🙂👍

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами

Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.

🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷‍♂️ Нужно выявлять такое и репортить.

Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсовПродолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов

Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов.

🔹 Почему так много уязвимостей Astra Linux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Linux Kernel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Windows? Их Microsoft выпускали не как CVE-шки, а как ADVisories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷‍♂️
🔹 Для уязвимостей Debian Linux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷‍♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.

Отчитался-отвыступался на Территории Безопасности

Отчитался-отвыступался на Территории Безопасности
Отчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории БезопасностиОтчитался-отвыступался на Территории Безопасности

Отчитался-отвыступался на Территории Безопасности.

🔹 Аналитический блок открыл Рустэм Хайретдинов. Его основные тезисы: 1. Низкая конкуренция на российском рынке VM, высокие цены, прямое импортозамещение невозможно (не соглашусь, цена/качество Nessus это был демпинг, да и для российских инфраструктур западные решения перестают быть актуальными). 2. Облачным сервисам никто больше не верит (имхо, иностранным да, а российским вроде норм 🤷‍♂️) 3. Российские вендоры в меньшей степени заинтересованы в публикации информации об уязвимостях.

🔹 Дальше я раскрывал тему уязвимостей в БДУ ФСТЭК без ссылок на CVE, среди которых значительная часть и есть уязвимости российских вендоров. 😉

🔹 Дискуссия по VM-у понравилась. Попушил тему с управлением активами, безусловными обновлениями, приоритизацией и выделением трендовых уязвимостей. 👍

Зрителей на дискуссии было не особо много, т.к. в параллель было ещё 2 дискуссии и одна с Алексеем Лукацким 🙂. Ещё и кейтеринг был обильный и разнообразный. 😉