Напишу несколько слов про прошедшую в пятницу конференцию "ПЕРИМЕТР" от Metascan. Мои ожидания оправдались на 100%. Получилась настоящая VM-ная конфа с фокусом на детектировании уязвимостей. Давненько не был на мероприятиях, где программа была бы НАСТОЛЬКО интересной и профильной для меня. 😇 Я отсмотрел все выступления, которые планировал и по ходу дела вёл трансляцию в своём Live-канале в MAX (начиная с этого сообщения). Также слайды с комментариями к конфе выкладывал Василий Пластунов в свой ТГ-канал VP Cybersecurity Brief. Больше всего мне понравились кейноты Давида Ордяна про недостатки детектирования сервисов в ванильном Nmap и про то, как Metascan их решает собственными доработками ("Пробы не появятся сами по себе!" 😉), а также про статистику по уязвимостям корпоративных инфраструктур. На стенде Xello узнал, что они делают собственное VM-решение. 🔍 На стенде Сбера обсудили развитие SBER X-TI.
Небольшой ложкой дёгтя стало то, что в малом зале, где я выступал, были проблемы с экраном. Большая часть текста отображалась очень блекло и не читалась. В какой-то момент преза вообще зависла. 🤷♂️ Пришлось как-то выкручиваться и импровизировать. 😅 В итоге доклад фактически перешёл в интерактивное общение с залом о том, что такое "exposure", Gartner CTEM и EASM/EASA, насколько имеет смысл использовать западную терминологию в России и, если использовать, то на что делать акценты, чтобы это не было маркетинговыми играми, а способствовало повышению реальной защищённости организаций. Благо аудитория собралась глубоко погружённая в тему. Всем большое спасибо за вопросы и комментарии! Отдельно хотелось бы поблагодарить за участие Наталью Георгиевну Милославскую, у которой на днях вышла монография по Управлению Уязвимостями. 🔥
В развлекательной программе тоже поучаствовал. С удовольствием поиграл в ретроигрушки на приставках. 😅👍
Большое спасибо организаторам за мероприятие! Очень надеюсь, что оно станет ежегодным. 😉
01:31 🔴 “CISA warns of hackers exploiting PwnKit Linux vulnerability (CVE-2021-4034)” by BleepingComputer // Не только американцам это нужно быстро патчить. 03:14 🔴 “Atlassian Confluence OGNL Injection Remote Code Execution (RCE) Vulnerability (CVE-2022-26134)” by Qualys // В статье Qualys приводят описание OGNL Injection, RCE Payload, Exploit POC, Exploit Analysis и Source Code Analysis. Это подробная техническая статья. Если вам интересно как такие уязвимости эксплуатируются и детектируются, посмотрите этот пост.
Data sources
05:27 🟠 “New Vulnerability Database Catalogs Cloud Security Issues” by DarkReading & Wiz // Непонятно насколько действительно нужна отдельная база данных. Кажется это все можно было бы оформить как CVEs. Тем более, что у многих уязвимостях в этой базе уже есть CVE IDs. Но инициатива хорошая. Лишний раз доказывает, что у MITRE и NVD есть проблемы.
Analytics
07:23 🟢 “MITRE shares this year’s list of most dangerous software bugs (CWE Top 25)” by BleepingComputer // Похоже на правду, хотя 'OS Command Injection' кажется должно быть выше. Ну и надо понимать, что CWE идентификаторы присваюваются уязвимости вручную и поэтому тут могут быть ошибки классификации. Но все равно любопытно. 09:06 🟠 “Cyberattacks via Unpatched Systems Cost Orgs More Than Phishing” by DarkReading & Tetra Defense // Хорошее замечание в статье: "Data on successful compromises can help companies determine the most critical attack vectors to address, but it should be noted that the conclusions depend greatly on the specific incident-response firm". Но то, что MFA и патчинг это важно - не поспоришь. 11:07 🔴 “Zero-Days Aren’t Going Away Anytime Soon & What Leaders Need to Know” by DarkReading & Arctic Wolf // Ну, в целом не попоришь. Моё мнение - пока критичные известные уязвимости на исправляются оперативно, думать о Zero-Days преждевременно. А так, это конечно в первую очередь задача SOC.
VM vendors write about Vulnerability Management
13:57 🟡 “Why We’re Getting Vulnerability Management Wrong” by DarkReading & Rezilion // Это давнишний спор: стоит ли исправлять уязвимости в софте, который в настоящий момент не запущен? Ну и обычно на это отвечают да. Потому что никто не может гарантировать, что софт вдруг не начнет запускаться. Но если будет возможность выделить среди критичных уязвимостей уязвимости, в софте, который уже запущен или регулярно запускается, то это хороший испточник данных для дополнительной приоритизации. Почему бы и нет. Хорошо, что Rezilion это подсвечивают. 16:41 🔴 “Risk-based Remediation Powered by Patch Management in Qualys VMDR 2.0” by Qualys // На самом деле давно было интересно что же нового в Qualys Vulnerability Management, Detection and Response. В целом, это похоже на Tenable vulnerability priority rating (VPR). Наверное и формируется примерно так же. Но про техническое подробности TruRisk надо будет искать где-то в другом месте. Я согласен с тем, что фокус VM должен быть именно на Remediation и хорошо, что Qualys продвигают эту тему. Достаточен ли объем новых фич, чтобы называть это VMDR 2.0? Пока это не кажется так. Кажется, что если бы Remediation был полностью автоматизирован для 100% хостов (что требует принципиально другого подхода к тестированию работоспособности после патча), то тогда это было бы 2.0. Но маркетологам Qualys виднее. 20:37 🟢 “Modern IT Security Teams’ Inevitable Need for Advanced Vulnerability Management” by Threatpost & Secpod // Дается список проблем и для преодаления этих проблем нужен Advanced Vulnerability Management от Secpod. В целом, список справедливый и то, что они обращают внимание на vulnerabilities beyond CVEs кажется мне очень правильным. 22:25 de-Westernization of IT см.выше https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
