Архив метки: JetInfosystems

🎞 Видеозапись VM-ной дискуссии на IT ELEMENTS 2025 "Управление уязвимостями в условиях изменчивой ИТ-инфраструктуры: вызовы и стратегии"

🎞 Видеозапись VM-ной дискуссии на IT ELEMENTS 2025 "Управление уязвимостями в условиях изменчивой ИТ-инфраструктуры: вызовы и стратегии". Таймстемпы и тезисы. 🙂

00:00 Вступительное слово и представление участников

02:08 Блиц-опрос: если бы вы могли изменить одну вещь в индустрии VM, что бы это было?
Плетнев: конкурентная борьба на рынке решений VM-а. Топорков: научить VM-решения говорить на языке бизнеса. Леонов: чтобы в фокусе было качество детектирования. Исхаков: ускорение процесса закрытия уязвимостей.

06:12 Как определять между двумя VM-вендорами кто сканирует качественнее?
Леонов: по декларациям вендоров о поддержке систем и по сравнению сканов (как минимум можно попросить вендоров объяснить расхождения). Топорков: обязать вендоров отмечать возможности детектирования в БДУ?

10:51 Почему заказчики сами начинают писать VM-продукты, из-за недостаточного качества того, что есть на рынке?
Топорков: у нас под капотом коммерческий сканер, сами пишем обработку уязвимостей. Леонов: иногда написание своего сканера оправдано, т.к. нужно заточиться только на те продукты, которые используются в организации. Погребняк: новые вендоры гибкие в плане доработок.

12:40 Как выбрать VM-решение?
Исхаков: учитывайте количество фолзов. Леонов: должна быть доступна логика детектирования. Плетнев: необходима зрелость на стороне клиента, интегратор может быть предвзят.

14:08 ТОП-критерии выбора VM-решения. ТОП-1: Качество.
Плетнев: интегрируемость с IT/ИБ инструментами: SOAR, ITSM, SIEM. Топорков: поддержка отечественных решений, прозрачность базы, информация по фиксам. Исхаков: производительность, интеграции, модули сканирования WEB-а/docker/отечественного стека, интегрируемость с CI/CD, учёт упоминания в рассылках, комплаенс/мисконфиги. Топорков: BlackBox сканы. Леонов: нужно отталкиваться от инфраструктуры вашей организации и оценивать "погруженность вендора" в тему детектирования уязвимостей, должен быть API.

24:00 Необходима ли в VM-решении функциональность по Автопатчингу/Patch Management?
Исхаков: автопатчинг для небольших компаний. Леонов: автопатчинг - вредное слово, нужно полноценное решение по Patch Management (с учётом проверки патчей по методике ФСТЭК). Исхаков: хорошо бы в VM-решении видеть проверенные обновления и возможность проверять шаблоны конфигураций. Топорков: автообновление должно быть поэтапным; хотя бы подтягивать проверенные обновления со ФСТЭК.

32:35 Что делать с системами, которые не поддерживаются VM-решением?
Леонов: писать VM-вендору, смотрим поддерживающие решения, оцениваем возможность отказаться от неподдерживаемой системы, реализуем свой сканер под систему или проверяем руками. Топорков: от вендора неподдерживаемого продукта потребовать рассылку с устранёнными уязвимостями.

35:30 Как правильно приоритизировать уязвимости?
Плетнев: не только CVSS, расположение хоста, критичность хоста, расчёт риска. Топорков: оценка вендора, CISA KEV. Леонов: CISA KEV не учитывает специфику России, учитывать наличие эксплоитов и признаков публичных атак; критичность повышается внезапно; нужен exposure management и построение путей атак. Исхаков: построение путей атак - следующий уровень развития. Леонов: всю инфраструктуру нужно покрыть детектами.

43:17 Как отслеживать устранение уязвимостей?
Плетнев: лучше в единой ITSM. Топорков: не все уязвимости нужно в реальном времени отслеживать. Леонов: таски должны быть, как именно заводить - дискуссионно. Плетнев: нужно формировать культуру безопасности. Леонов: да, но не нужно играть в докажи-покажи.

51:20 Нужно ли на законодательном уровне закрепить SLA на устранение уязвимостей через обязательность методики ФСТЭК или аналог CISA KEV?
Аудитория против. Топорков: "устранение за сутки" требует уязвимости на периметре, эксплоита и т.д. Леонов: устранение не всегда патчинг.

55:15 Вопрос из зала: может не устранять уязвимости, а максимально ограничить права пользователей?
Да, стоит делать "киоск" там, где он возможен.

58:53 Унифицированный SLA на устранение уязвимостей должен быть!
Исхаков.

Впечатления от конференции IT ELEMENTS у меня самые приятные

Впечатления от конференции IT ELEMENTS у меня самые приятные

Впечатления от конференции IT ELEMENTS у меня самые приятные. 👍 Несмотря на то, что она по большей части IT-шная с фокусом на инфраструктурные и сетевые решения, работу с данными и искусственный интеллект, часть посвящённая информационной безопасности также была весьма насыщенной. И в плане докладов/дискуссий, и в плане стендов (наши там тоже были 😉), и в плане нетворкинга. 🔥

Отдельно хотел бы отметить стенд Jet VM Lab. Хорошо пообщались с ребятами по поводу их околоVM-ных услуг и обновлённого сравнения VM-решений (они добавили ScanFactory, Vulns io и Security Vision VM).

Наша VM-ная дискуссия также прошла замечательно и душевно. Кажется, могли бы запросто продолжить ещё на часик-другой. Что мы, в общем, и сделали, но уже не на сцене. 😅 Видео дискуссии есть, перезалью с таймстемпами и комментами.

Большое спасибо организаторам за конференцию! И за мерч тоже спасибо! 😉

В следующую среду, 10 сентября, собираюсь поучаствовать в VM-ных посиделках на IT ELEMENTS (конференция Инфосистемы Джет)

В следующую среду, 10 сентября, собираюсь поучаствовать в VM-ных посиделках на IT ELEMENTS (конференция Инфосистемы Джет)

🎤 В следующую среду, 10 сентября, собираюсь поучаствовать в VM-ных посиделках на IT ELEMENTS (конференция Инфосистемы Джет). Компания собирается очень удачная.

🔹 Модерировать будет Мария Погребняк. Она главная по VM-у в Jet-е, в том числе занималась подготовкой недавнего сравнения VM-решений. Думаю, обсудим, как правильно такие сравнения делать. 😉

🔹 Будет два известных VM-практика со стороны финансового сектора: Андрей Исхаков и Дмитрий Топорков. Так как я и сам в банке отработал приличное время, будет интересно "сверить часы" в плане банковской специфики, в том числе PCI DSS 4.0.1 и требований ЦБ. 🏦

🔹 Чтобы всё не скатилось в очередной банковский междусобойчик, дискуссию уравновесит Антон Плетнев из "Черкизово". Он наверняка расскажет много интересного про VM в агропроме. 🐓

🔹 Сам я буду "независимым экспертом". 😉 Собираюсь продвигать БОСПУУ и оценку качества детектирования в том числе.

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.

Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷‍♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре?

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре?

Правда ли, что 96% компаний в России можно взломать с помощью старых эксплуатабельных уязвимостей на периметре? Статья CNews выглядит забавно потому, что там тезис из аналитического отчёта опровергается одним неаргументированным мнением эксперта. Типа завышено и всё тут. Но когда я смотрю на эту цифирь, то я тоже думаю, что она с реальностью не особо бьётся. 🙂 Попробую аргументировать.

🔻Если мы просто посмотрим организации из ЕГРЮЛ, очевидно, что там будет значимое число организаций типа ООО "Вектор", у которых весь условный "сетевой периметр" это сайт-визитка с телефоном и email-ом на бесплатном сервисе. Очевидно, что если у вас нет периметра, уязвимости ему не страшны. 😏

🔻В отчёте Джеты не пишут, что это статистика по всем российским организациям. Они пишут, что отчёт на основе работ с клиентами и опроса более 100 организаций. В статье CNews это тоже пишут "Все данные из отчета относятся к клиентам и сервисам компании «Инфосистемы Джет», но представитель компании объяснил CNews, что эти данные могут быть релевантны для экстраполяции на российские компании в целом, поскольку компания давно на рынке и обслуживает крупнейших клиентов из самых разных сфер, а в статистику вошло около 500 крупных компаний". Т.е. "96% компаний используют на внешнем периметре версии ПО, имеющие уязвимости уровня «Critical» и «High», для которых существуют публично доступные эксплойты" это не про все российские компании, а про некоторую выборку. А оценку для всех российских компаний можно получить путём какой-то хитрой экстраполяции. Но там будет уже не 96%.

🔻 Так от какого числа компаний посчитаны эти 96% и достоверна ли информация, что у них на периметре эксплутабельные уязвимости? Учитывая, что в отчёте ссылаются на сервис Jet Nautilus (надо ж было назваться как и популярная модель раций - в поиске фиг найдёшь 🙂), видимо речь о клиентах этого сервиса. Сколько этих клиентов непонятно. Но цифра 96% может быть, к примеру, получена, если у вас 25 клиентов и у 24 у них вы продетектировали эксплутабельные уязвимости. Если посмотреть описание сервиса, то в части детектирования уязвимостей он проводит "Пассивное сканирование внешней инфраструктуры компании без прямого контакта с ней. Обеспечивает оценку потенциальных векторов атак и инвентаризацию внешнего периметра". Что это за пассивное сканирование без прямого контакта стоит уточнять у Джетов, но я при таких словах воображаю себе, что у них есть доступ к условному Shodan/Censys и они смотрят результаты баннерных детектов через API-шку и ищут для продетектированных CVE-шек эксплоиты. Метод простой, но достоверность таких детектов, конечно, низкая. Но это не более чем мои домыслы на основе чтения лендинга, конкретно нужно у вендора узнавать.

➡️ Так что, имхо, нет. Доля российских компаний, которых можно взломать с помощью старых эксплуатабельных уязвимостей на периметре, меньше 96%. А для того, чтобы оценить сколько конкретно таких компаний нужно уметь активно и достоверно сканировать весь рунет на уязвимости и понимать какие IP-адреса к каким организациям относятся. А до этого это всё прикидки уровня пол-палец-потолок.

Снова забавное от CNews: cтатья "96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети"

Снова забавное от CNews: cтатья 96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети

Снова забавное от CNews: cтатья "96% компаний в России можно взломать с помощью старых уязвимостей, которые уже описаны в Сети". 🙂

🔹 Половина статьи про то, что Джеты выпустили отчет за 2023 г. и там якобы написано, что "96% компаний в России используют на внешнем периметре версии софта, имеющие уязвимости критического либо высокого уровня". Ссылку на отчёт Cnews почему-то не приводят, но вот этот отчёт. В нём 96% относятся к несколько другому: "96% компаний используют на внешнем периметре версии ПО, имеющие уязвимости уровня «Critical» и «High», для которых существуют публично доступные эксплойты". Согласитесь, что важную часть месседжа проглотили. Сами данные на основе анализа инфраструктур компаний-клиентов Джета. Как бы ок - аудиты, пентесты, статистика.

🔹 Вторая половина статьи (которая собственно меня и позабавила) озаглавлена "Но всё не так критично". Ага. Т.е. на периметре организаций эксплуатабельные уязвимости, но это не так критично. Тут должна быть интересная аргументация. 🧐 Возможно там нам расскажут про какие-то компенсирующие меры, которые повсюду в организациях внедрены, Zero Trust или что-нибудь такое… Но нет, на самом деле аргументация там такая: "Ведущий инженер CorpSoft24 Михаил Сергеев считает, что уязвимости такого уровня действительно присутствуют у большого количества компаний, но цифра в 96% явно завышена". Во как! Явно завышена. 😅 Джеты пишут так, а Михаил Сергеев, ведущий инженер CorpSoft24, считает иначе. 🤷‍♂️ Шах и мат, аналитики. ♟

Дальше приводятся цитаты Михаила, которые не про "не всё так критично", а про то что Vulnerability Management это слооожна, а у админов лапки: 🐾

🔻 "Для закрытия уязвимостей необходимо чуть ли не ежедневно обновлять ПО, но это очень трудоемкий и требовательный к ресурсам процесс"

🔻 "Обычно компании обновляются когда им требуется дополнительный функционал или возникают проблемы, которые они хотят решить с помощью патча. Многие информационные системы работают в режиме "работает, не трогай" "

А раз так, давайте закроем глазки и не будем нагнетать. 🙈 Так что ли должно следовать по логике автора статьи? 😁

В общем, CNews такой CNews. Что ни материал, то радость, веселье и хорошее настроение. 🤩

Но к 96% из отчёта есть, конечно, вопросики. 🧐