Архив метки: Kaspersky

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

1 комментарий

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Positive Technologies - MaxPatrol 8, XSpider, MaxPatrol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. MaxPatrol 8 развивается с 2009 г., привязан к Windows (сервер, клиент). XSpider - урезанная версия MaxPatrol 8, сканирование с аутентификацией поддерживается только для Windows хостов, остальное только без аутентификации. MaxPatrol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с MaxPatrol 8.

АЛТЭКС-СОФТ - RedCheck. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Windows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Docker-контейнеров, а также Kubernetes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» - Сканер-ВС. Linux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта OpenVAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс - Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Windows, Linux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Docker-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Linux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис - Efros Config Inspector. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Linux, Windows, систем виртуализации.

Kaspersky - Security Center. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Windows хостах.

Cloud Advisor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском

Добавить комментарий

Выпустил свои размышлизмы о том, что такое Zero Day уязвимость как отдельный эпизод с видяшкой на английском. На русском было тут.

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

1 комментарий

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!"

Добавить комментарий

В середине июля я принял участие в записи подкаста ЛК Смени пароль!

В середине июля я принял участие в записи подкаста ЛК "Смени пароль!".

"Сколько проработает импортное «железо» без обновлений? Как выявлять вредоносные закладки в софте? Что нужней для создания безопасного кода – хакерские конкурсы или научное проектирование? Продолжаем обсуждать главные проблемы года с ИБ-экспертами из разных компаний. В этом выпуске свои истории рассказывают Алексей Лукацкий (Positive Technologies), Александр Леонов («Тинькофф»), Алексей Марков («Эшелон»), Николай Клендар (Home Credit Bank), Александр Бондаренко (R-Vision) и Пётр Девянин («Русбитех-Астра»)."

Я рассказывал про оценку стабильности вендоров, исправление уязвимостей в продуктах нестабильных вендоров и алгоритм НКЦКИ, про зачастую разный mindset у безопасников и админов. С 14:50. За 3 месяца тренд на вынос западных решений только усилился и есть надежда, что возврат к нормальному VM-процессу с доверием используемым вендорам совершится несколько раньше, чем можно было предполагать.

И ещё по поводу интервью Натальи Касперской

Добавить комментарий

И ещё по поводу интервью Натальи Касперской. Там был такой тезис: "смартфоны нам массово заблочат, но не беда - продолжим пользоваться кнопочными телефонами, выживем". С одной стороны это конечно правда, телефоны без ОС недружественному вендору контролировать сложнее. Но тут стоит обратить внимание, что не во всех кнопочных телефонах, а корректнее называть это "фичафонами", нет ОС. Сейчас уже скорее наоборот. Например, в KaiOS, успешном форке Firefox OS, есть и браузер, и приложения, и магазин приложений. Эта OC используется в современных телефонах Nokia от HMD Global и много где ещё. KaiOS Technologies между прочим калифорнийская. Так что хоть и есть кнопки, а проблемы +- как со смартфонами. С другой стороны и в телефонах без ОС могут быть всякие сюрпризы. Вот например мой прошлогодний пост:

——

"На хабре прикольная статья про недекларируемые возможности кнопочных телефонов, которые продаются российском ретейле. Все сводится к тому, что телефоны могут самостоятельно сливать какие-то данные по СМС или подключаясь через интернет (GPRS):

1. Сообщать о факте покупки
2. Сообщать об использовании телефона передавая IMEI телефона и IMSI SIM-карт
3. Отправлять платные сообщения на короткие номера, загружая необходимый текст с сервера
4. Пересылать входящие смс на сервер злоумышленника

От формфактора это конечно не зависит и такие же (и даже большие) проблемы могут быть в смартфонах, особенно OEM-ных и в нижнем ценовом сегменте, потому что там точно никто не заморачивается проверками. Просто считается, что раз в простой звонилке нет ОС и забекдоренных приложений, то это автоматически означает бОльшую безопасность устройства. И это во многом справедливо. Например когда второй фактор в виде смс приходит на отдельное устройство (опустим тему настолько смс вообще адеватен как второй фактор), то перехватить его зловреду на смартфоне становится невозможно и популярный вектор атак закрывается. Ну вот как показывает практика и в прошивку можно засунуть всякие интересные злоумышленниках штуки.

Что делать? Видимо действительно не брать совсем уж noname в сомнительных магазинах. Звонилка от Nokia (уже китайской, но все ещё большой) купленная в магазине крупной сети должна быть относительно безопасна.

В целом же это такая вульгарная вариация атаки на цепочку поставок. И решения должны быть примерно схожими."

——

В текущих реалиях все же очень желательно, чтобы такое устройство было спроектировано и произведено в России. Только это делает его насколько возможно доверенным. Кажется в эту сторону Касперские сейчас и работают. По моему мнению за это вполне имеет смысл переплачивать. И какие-то функциональные ограничения устройства на фоне существующих угроз уже перестают играть существенную роль, а возможно даже в плюс идут.

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям"

2 комментария

Чуть больше месяца назад на форуме "Иннопром-2022" Евгений Касперский анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям". Без технических подробностей и сроков. И вот вчера на форуме "Армия-2022" (!) он выдал некоторые подробности по поводу проекта мобильной ОС. Ясности не особенно прибавило, но если раньше можно было предположить, что это будет чуть допиленный AOSP, то сейчас похоже, что это будет более загадочная штука. И фокус на работе с КИИ.

"Там еще не до конца готов функционал. … Мы писали все с самого нуля, поэтому еще нужно доделывать. Камера не работает. Мы делаем, но это требует времени. Плюс производительность - там еще есть работа, чтобы он работал с той же скоростью, к чему мы привыкли. Там куча всяких технических проблем, с которыми мы потихонечку справляемся. Когда мы его покажем и скажем, что вот, готово - не знаю"

"При этом мы не рассматриваем его как замену обычному смартфону. Все-таки это больше для работы с критической инфраструктурой. … Современность требует того, чтобы управлять инфраструктурой можно было и удаленно. Поэтому требуется устройство, которое будет гарантируемо невзламываемо. Поэтому мы делаем такое устройство, у которого будет достаточно ограниченный функционал. Там не будет App Store, там не будет фишек, которые все любят на смартфонах, но это будет штука, которой можно будет безопасно управлять условной турбиной"

Можно ли на основе этого предположить, что на смартфоне будут запускать ту самую кибериммунную KasperskyOS с некоторым графическим интерфейсом? Было бы логично и круто, но пока кажется, что все же нет, это будет другой проект. Если бы да, то не было бы смысла об этом умалчивать, а наоборот было выгодно это всячески подчеркивать, чтобы привлечь внимание к существующим проектам на KaspoerskyOS. Так ведь?

Также не факт, что этот смартфон для КИИ и общедоступная "операционная система для компьютеров и смартфонов" это один и тот же проект.

И даже если защищенный смартфон от ЛК в обозримом будущем появится, не факт что его дадут приобрести физикам. Вполне может быть как с Аврора ОС, которая сейчас позиционируется как "Корпоративная. Защищенная. Своя." и устройства с ней вроде как есть, но "поставляются только юридическим лицам". И возможно это даже оправдано. Кому хочется разгребать негатив от неадекватных пользователей, который купили устройство без понимания зачем оно им. Всякое такое: "почему так дорого, если на али такое же с Андройдом в 2 раза дешевле", "почему так медленно", "почему так мало приложений", "почему камера не как в айфоне". Это понятно. Но то, что при этом и гиков оставляют за бортом как-то грустненько. 🙂

Евгений Касперский на Иннопром-2022 анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям" от ЛК

1 комментарий

Евгений Касперский на Иннопром-2022 анонсировал "операционную систему для компьютеров и смартфонов, которая была бы доступна и рядовым пользователям" от ЛК. Технических подробностей нет, сроков нет.

Но так-то интересно куда эта тема с ОС приведет. Пока видятся варианты:

1. Достаточный уровень поддержки от MS/Apple/Google сохранится и все останется более-менее как было.
2. Западные вендоры ОС продолжат ухудшать уровень поддержки и значительно затруднять работу. Настанет вынужденный год Linux на десктопе. 🙂 Linux дистрибы при этом этом будут мейнстримные. Там, где не Linux, там будет варез и костыли от кулибиных.
3. Мейнстримные Linux дистрибы также также начнут жестко вставлять нам палки в колеса. Отечественные сертифицированные ОС от текущих игроков станут массово использоваться как сегодня Ubuntu/Debian/CentOS Stream и прочее. Естественно тоже вынужденно.
4. Окажется, что существующие сертифицированные ОС не обеспечивают достаточный уровень стабильности и защиты, и это создаст предпосылки для прихода новых игроков с достаточными ресурсами, скилами и заинтересованностью, чтобы уже сделать красиво. Кажется, что такие игроки это российский IT/ИБ крупняк, в том числе ЛК.

Я здесь почти намеренно мешаю все в кучу, потому что честно расписывать муторно. Но в целом ощущения какие-то такие. Пока все ещё скорее верится в 1-2 вариант. Но уверенности нет никакой.