Архив метки: Kaspersky

Средства Анализа Уязвимостей (САУ) и Средства Исправления Уязвимостей (СИУ)

Добавить комментарий

Средства Анализа Уязвимостей (САУ) и Средства Исправления Уязвимостей (СИУ).

5. Средства Анализа Уязвимостей (САУ)

Позволяют анализировать и приоритизировать уязвимости для конкретной инфраструктуры. Имеется в виду не дополнительная функциональность в рамках детектирующего решения, а решение позволяющее импортировать данные об уязвимостях из сторонних источников. Анализ может включать в себя построение цепочки атаки и симуляцию атаки.

R-Vision - R-Vision VM. Система автоматизации процесса управления уязвимостями, включающая выявление, агрегацию, приоритизацию и контроль устранения уязвимостей. Включает функциональность по анализу уязвимостей импортированных из внешних источников.

SECURITM. Сервис управления безопасностью на базе риск-ориентированного подхода. Содержит опциональный модуль управления техническими уязвимостями, позволяющий принимать результаты работы от сканеров безопасности. Оценка уровня критичности уязвимостей может проводиться в соответствие с методикой ФСТЭК.

6. Средства Исправления Уязвимостей (СИУ)

Позволяют автоматизированное исправлять уязвимости в конкретной инфраструктуре. Имеется в виду не управление задачами для системных администраторов, а непосредственное воздействие на актив, такое как обновление хоста или изменение его конфигурации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по автоматическому обновлению уязвимого ПО на Windows хостах.

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров

3 комментария

Картинка Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.

Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

1 комментарий

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.

АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.

Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском

Добавить комментарий

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском. На русском было тут.

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

1 комментарий

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!"

Добавить комментарий

В середине июля я принял участие в записи подкаста ЛК Смени пароль!

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!".

"Сколько проработает импортное «железо» без обновлений? Как выявлять вредоносные закладки в софте? Что нужней для создания безопасного кода – хакерские конкурсы или научное проектирование? Продолжаем обсуждать главные проблемы года с ИБ-экспертами из разных компаний. В этом выпуске свои истории рассказывают Алексей Лукацкий (Positive Technologies), Александр Леонов («Тинькофф»), Алексей Марков («Эшелон»), Николай Клендар (Home Credit Bank), Александр Бондаренко (R-Vision) и Пётр Девянин («Русбитех-Астра»)."

Я рассказывал про оценку стабильности вендоров, исправление уязвимостей в продуктах нестабильных вендоров и алгоритм НКЦКИ, про зачастую разный mindset у безопасников и админов. С 14:50. За 3 месяца тренд на вынос западных решений только усилился и есть надежда, что возврат к нормальному VM-процессу с доверием используемым вендорам совершится несколько раньше, чем можно было предполагать.

И ещё по поводу интервью Натальи Касперской

Добавить комментарий

И ещё по поводу интервью Натальи Касперской. Там был такой тезис: "смартфоны нам массово заблочат, но не беда - продолжим пользоваться кнопочными телефонами, выживем". С одной стороны это конечно правда, телефоны без ОС недружественному вендору контролировать сложнее. Но тут стоит обратить внимание, что не во всех кнопочных телефонах, а корректнее называть это "фичафонами", нет ОС. Сейчас уже скорее наоборот. Например, в KaiOS, успешном форке Firefox OS, есть и браузер, и приложения, и магазин приложений. Эта OC используется в современных телефонах Nokia от HMD Global и много где ещё. KaiOS Technologies между прочим калифорнийская. Так что хоть и есть кнопки, а проблемы +- как со смартфонами. С другой стороны и в телефонах без ОС могут быть всякие сюрпризы. Вот например мой прошлогодний пост:

——

"На хабре прикольная статья про недекларируемые возможности кнопочных телефонов, которые продаются российском ретейле. Все сводится к тому, что телефоны могут самостоятельно сливать какие-то данные по СМС или подключаясь через интернет (GPRS):

1. Сообщать о факте покупки
2. Сообщать об использовании телефона передавая IMEI телефона и IMSI SIM-карт
3. Отправлять платные сообщения на короткие номера, загружая необходимый текст с сервера
4. Пересылать входящие смс на сервер злоумышленника

От формфактора это конечно не зависит и такие же (и даже большие) проблемы могут быть в смартфонах, особенно OEM-ных и в нижнем ценовом сегменте, потому что там точно никто не заморачивается проверками. Просто считается, что раз в простой звонилке нет ОС и забекдоренных приложений, то это автоматически означает бОльшую безопасность устройства. И это во многом справедливо. Например когда второй фактор в виде смс приходит на отдельное устройство (опустим тему настолько смс вообще адеватен как второй фактор), то перехватить его зловреду на смартфоне становится невозможно и популярный вектор атак закрывается. Ну вот как показывает практика и в прошивку можно засунуть всякие интересные злоумышленниках штуки.

Что делать? Видимо действительно не брать совсем уж noname в сомнительных магазинах. Звонилка от Nokia (уже китайской, но все ещё большой) купленная в магазине крупной сети должна быть относительно безопасна.

В целом же это такая вульгарная вариация атаки на цепочку поставок. И решения должны быть примерно схожими."

——

В текущих реалиях все же очень желательно, чтобы такое устройство было спроектировано и произведено в России. Только это делает его насколько возможно доверенным. Кажется в эту сторону Касперские сейчас и работают. По моему мнению за это вполне имеет смысл переплачивать. И какие-то функциональные ограничения устройства на фоне существующих угроз уже перестают играть существенную роль, а возможно даже в плюс идут.