Архив метки: ExposureManagement

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Добавить комментарий

Распишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре. Скриншоты я делал с трансляции, поэтому извините за качество. 🤷‍♂️ Апскейлер не особо помог, но основное там вроде видно. 🙂

Так вот, карта достижимости - это граф с информацией о том, до каких критических активов злоумышленник может дойти в ходе эксплуатации уязвимостей на активах IT-инфраструктуры организации.

Информация для построения карты сети берётся из результатов активного сканирования (инвентаризации) хостов и сетевых устройств. При построении используются собранные таблицы маршрутизации, сетевые службы, порты, протоколы, сетевые интерфейсы. Чем полнее сканируете инфру, тем адекватнее будет карта.

Критичность активов может как задаваться вручную на странице актива (уровень критичности и флаг "стратегического" актива - аналог "целевого" из методологии РКН), так и определяться автоматически (есть ли у актива доступ в Интернет, есть ли у актива привязка к стратегическому активу).

При построении графов достижимости поиск направлен в сторону стратегических активов.

Далее на граф накладывается информация о продетектированных уязвимостях и получается финальная карта достижимости.

🔴 Красные связи показывают достижимость атаки до критических активов через эксплуатацию уязвимостей на хостах.

🟡 Жёлтые связи показывают прерывание атаки на определенном активе и невозможность развития атаки по данному маршруту.

Эта карта кликабельна, при нажатии на иконку актива на карте открывается полная карточка с подробной информацией о его конфигурациях и уязвимостях.

Ок, это всё красиво. Но как это использовать для приоритизации активов и уязвимостей? 🤔

В правой части дашбордов есть таблички с ТОПом активов и их уязвимостей с параметром "степень участия". Этот параметр некоторым образом проприетарно высчитывается и характеризует степень участия актива или уязвимости в потенциальной атаке. Соответственно, следует в первую очередь обращать внимание на активы и уязвимости с максимальной степенью участия. Так на скриншоте можно видеть публично доступный Linux хост с Confluence (с.у. 0,5) уязвимый к CVE-2023-22527 (с.у. 0,5) и виндовую RCE CVE-2024-38063 (с.у. 1).

В общем, такая вот новая функциональность. Это, конечно, пока не тянет на полноценное моделирование Attack Paths, т.к.

🔹 На графе отображаются продетектированные уязвимости со зрелыми эксплоитами и сетевым вектором, НО не производится глубокого анализа, как именно конкретные уязвимости эксплуатируются, какие для этого должны выполняться условия, что именно злоумышленники могут достичь через эксплуатацию, как именно они могут развивать атаку и т.п. То есть нет явной симуляции действий злоумышленника в контексте конкретного хоста. Пока демонстрируемая эксплуатабельность носит более теоретический характер, но предвижу развитие продукта в сторону большей конкретики. 😉

🔹 Это всё про уязвимости софта (CVE), а не про экспозиции. Те же проблемы с учётками и мисконфигурации никак не учитываются, но коллеги из Security Vision обещают добавить их на граф уже в ближайших релизах.

Но в любом случае, как некоторые быстрые первые шаги в сторону дополнительной приоритизации уязвимостей на основе сетевой связности - это вполне имеет право на существование. 🙂👍

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Добавить комментарий

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки?

Что нового в MaxPatrol Carbon 25.7.4 в части отображения конкретных путей атаки? Продолжаю подсвечивать понравившиеся фичи. На скриншотах примеры отображения путей атаки (маршрутов) в Carbon: видны активы и шаги злоумышленника.

🔹 Первый пример - получение доступа к критичному проекту на внутреннем GitLab. Сначала эксплуатируется уязвимость обхода аутентификации в Confluence (CVE-2023-22515) на периметре. Она позволяет получить админа в Confluence, загрузить плагин и получить RCE на сервере. Далее атака на внутренний Exchange с RCE уязвимостью ProxyNotShell (CVE-2022-41082). Затем идёт компрометация домена с помощью системной учётки.

🔹 Все эксплуатируемые проблемы, включая CVE-шки, собираются в Рекомендации.

🔹 Также добавил пример маршрута без эксплуатации CVE-шек (только начальный фишинг и мисконфигурации - экспозиции 😉) для кражи отчёта.

Подробнее на вебинаре 16 декабря и в статье на Anti-Malware. 🙂

Что нового в MaxPatrol Carbon 25.7.4?

Добавить комментарий

Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?Что нового в MaxPatrol Carbon 25.7.4?

Что нового в MaxPatrol Carbon 25.7.4? Пообщался с коллегами перед предстоящим вебинаром 16 декабря. В этом посте - про отображение состояния инфраструктуры, а в следующем - непосредственно про пути атаки (маршруты).

🔹 Начали оценивать готовность инфраструктуры к моделированию кибератак (топология, пользователи и привилегии, граф возможностей). Для "отличной" оценки топологии в ней должно быть более 80% всех активов + выполняться доп. условия. При клике по остальным показателям, например по "Теневым активам", открываются результаты выполнения соответствующего PDQL-запроса в MaxPatrol VM.

🔹 Добавили виджет с воронкой от всех экземпляров трендовых уязвимостей в инфре до трендовых уязвимостей с эксплоитами и просчитанными маршрутами для реализации заданных недопустимых событий.

🔹 Критичность маршрутов теперь выделяется цветом (чем краснее - тем критичнее).

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Добавить комментарий

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций. Тогда логично было бы определить Continuous Threat Exposure Management (CTEM) как некоторую разновидность Exposure Management с акцентом на

🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.

🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.

Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями"

Добавить комментарий

На портале @CISOCLUB вышло интервью со мной Эволюция подхода к управлению уязвимостями

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями". В прошлом году я рассказывал о вещах, которые считаю наиболее важными в VM-е, а в этот раз в основном о будущем VM-а и Exposure Management (Управление Экпозициями). И немного о своих регуляторных хотелках. 😉

Ответил на вопросы:

🔹 Как изменился подход российских организаций к VM процессу в 2025 году?
🔹 По структуре EM и VM процессы совпадают?
🔹 Моделирование действий атакующего - это не то же самое, что пентест?
🔹 Насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?
🔹 Как расширенные VM-практики (EM) соотносятся с требованиями регуляторов?
🔹 Какие регуляторные требования могли бы повысить защищённость российских организаций и национальную безопасность?
🔹 Какие изменения в VM/EM-решениях ждут нас в будущем?

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

Добавить комментарий

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR.

🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺

🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.

Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️

В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒

Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉

Что такое Управление Экспозициями (Exposure Management)?

Добавить комментарий

Что такое Управление Экспозициями (Exposure Management)?

Что такое Управление Экспозициями (Exposure Management)? Если мы определили экспозиции (exposures) как "уязвимости в широком смысле", то и управление экспозициями можно определить по аналогии с управлением уязвимостями.

"Управление экспозициями - процесс выявления и приоритизированного устранения экспозиций."

🔍 Настоящее решение по управлению экспозициями (EM), а не обычный VM/RBVM названный так ради хайпа, должно определять не только уязвимости ПО (CVE/БДУ), но и мисконфигурации, излишние права доступа, слабые пароли, избыточную сетевую связность и т.д. Всё, что может эксплуатировать злоумышленник в ходе атаки.

🗺 Эффективная приоритизация экспозиций невозможна без понимания их взаимосвязи. Ключевой функциональностью этого класса решений становится построение и анализ путей атак (attack paths). Кстати, это транслирует и Tenable в своей "Модели зрелости управления экспозициями" (особенно на уровне 5) и в отчёте Exposure Management Leadership Council.