Архив метки: ExposureManagement

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Добавить комментарий

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки? Продолжаю подсвечивать понравившиеся фичи. На скриншотах примеры отображения путей атаки (маршрутов) в Carbon: видны активы и шаги злоумышленника.

🔹 Первый пример - получение доступа к критичному проекту на внутреннем GitLab. Сначала эксплуатируется уязвимость обхода аутентификации в Confluence (CVE-2023-22515) на периметре. Она позволяет получить админа в Confluence, загрузить плагин и получить RCE на сервере. Далее атака на внутренний Exchange с RCE уязвимостью ProxyNotShell (CVE-2022-41082). Затем идёт компрометация домена с помощью системной учётки.

🔹 Все эксплуатируемые проблемы, включая CVE-шки, собираются в Рекомендации.

🔹 Также добавил пример маршрута без эксплуатации CVE-шек (только начальный фишинг и мисконфигурации - экспозиции 😉) для кражи отчёта.

Подробнее на вебинаре 16 декабря и в статье на Anti-Malware. 🙂

Что нового в MaxPatrol Carbon 25.7.4?

Добавить комментарий

Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?

Что нового в MaxPatrol Carbon 25.7.4? Пообщался с коллегами перед предстоящим вебинаром 16 декабря. В этом посте - про отображение состояния инфраструктуры, а в следующем - непосредственно про пути атаки (маршруты).

🔹 Начали оценивать готовность инфраструктуры к моделированию кибератак (топология, пользователи и привилегии, граф возможностей). Для "отличной" оценки топологии в ней должно быть более 80% всех активов + выполняться доп. условия. При клике по остальным показателям, например по "Теневым активам", открываются результаты выполнения соответствующего PDQL-запроса в MaxPatrol VM.

🔹 Добавили виджет с воронкой от всех экземпляров трендовых уязвимостей в инфре до трендовых уязвимостей с эксплоитами и просчитанными маршрутами для реализации заданных недопустимых событий.

🔹 Критичность маршрутов теперь выделяется цветом (чем краснее - тем критичнее).

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Добавить комментарий

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций. Тогда логично было бы определить Continuous Threat Exposure Management (CTEM) как некоторую разновидность Exposure Management с акцентом на

🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.

🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.

Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями"

Добавить комментарий

На портале @CISOCLUB вышло интервью со мной Эволюция подхода к управлению уязвимостями

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями". В прошлом году я рассказывал о вещах, которые считаю наиболее важными в VM-е, а в этот раз в основном о будущем VM-а и Exposure Management (Управление Экпозициями). И немного о своих регуляторных хотелках. 😉

Ответил на вопросы:

🔹 Как изменился подход российских организаций к VM процессу в 2025 году?
🔹 По структуре EM и VM процессы совпадают?
🔹 Моделирование действий атакующего - это не то же самое, что пентест?
🔹 Насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?
🔹 Как расширенные VM-практики (EM) соотносятся с требованиями регуляторов?
🔹 Какие регуляторные требования могли бы повысить защищённость российских организаций и национальную безопасность?
🔹 Какие изменения в VM/EM-решениях ждут нас в будущем?

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

Добавить комментарий

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR.

🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺

🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.

Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️

В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒

Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉

Что такое Управление Экспозициями (Exposure Management)?

Добавить комментарий

Что такое Управление Экспозициями (Exposure Management)?

Что такое Управление Экспозициями (Exposure Management)? Если мы определили экспозиции (exposures) как "уязвимости в широком смысле", то и управление экспозициями можно определить по аналогии с управлением уязвимостями.

"Управление экспозициями - процесс выявления и приоритизированного устранения экспозиций."

🔍 Настоящее решение по управлению экспозициями (EM), а не обычный VM/RBVM названный так ради хайпа, должно определять не только уязвимости ПО (CVE/БДУ), но и мисконфигурации, излишние права доступа, слабые пароли, избыточную сетевую связность и т.д. Всё, что может эксплуатировать злоумышленник в ходе атаки.

🗺 Эффективная приоритизация экспозиций невозможна без понимания их взаимосвязи. Ключевой функциональностью этого класса решений становится построение и анализ путей атак (attack paths). Кстати, это транслирует и Tenable в своей "Модели зрелости управления экспозициями" (особенно на уровне 5) и в отчёте Exposure Management Leadership Council.

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному

Добавить комментарий

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному. Вынесу из комментария:

"Для слова Exposure есть вполне отечественный перевод «по понятиям» — поверхность атаки. Единственного числа нет — одна доступная извне уязвимость, такая же поверхность атаки, как и решето, только меньше. Тогда Exposure Management — управление поверхностью атаки. Не противоречит логике языка. Конечно, с «экспонированными» уязвимостями перевод сложнее, но также можно сделать логично — уязвимость стала частью поверхности атаки (расширила поверхность атаки)."

Как мне кажется, так делать неправильно. Потому что "поверхность атаки" это "attack surface". И уже есть понятие "Attack Surface Management", которое не тождественно "Exposure Management" (тупо разные маркетинговые ниши). Поэтому сводя "exposure" в "поверхность атаки" мы получаем потом ненужные двусмысленности и несоответствия. Также как и при переводе в другие устоявшиеся термины, имеющие прямой перевод на английский: риск, угроза, уязвимость и прочее.

Была идея переводить "exposure" как "подверженность воздействию", но на русском это будет чудовищно громоздко и коряво. Поэтому лучше уж калькировать в "экспозицию".

Тем более, что использование слов "экспозиция" и "экспозировать" в таком смысле даже не особо противоречит правилам русского языка, есть такой архаизм:

ЭКСПОЗИРОВАТЬ exposer. устар. Выставлять, экспонировать; показывать. Носов изобрел славнейший хронометр, который желает экспозировать; все часовщики признают это славностью, делающею честь Русскому имени. 1829. А. Я. Булгаков. // РА 1901 3 306. Исторический словарь галлицизмов русского языка

Но повторюсь, что по мне и "Attack Surface Management", и "Exposure Management" это всё лишние термины, которые вполне укладываются в привычный Vulnerability Management. Введение "экспозиции" это вынужденная мера из-за того, что буржуи не унимаются и всё интенсивнее это "exposure" у себя используют.