Архив метки: Linux

Занятно конечно жизнь складывается: кто бы мог подумать, ещё года 2 назад, что пресловутый анекдотический "виндекапец" (как впрочем и "макокапец") станет ощутимо вырисовываться в отдельно взятой стране? 🤩

Добавить комментарий

Занятно конечно жизнь складывается: кто бы мог подумать, ещё года 2 назад, что пресловутый анекдотический "виндекапец" (как впрочем и "макокапец") станет ощутимо вырисовываться в отдельно взятой стране? 🤩 Что, например, российские ИБ вендоры судорожно кинутся пилить поддержку Linux серверов и Linux десктопов (!), потому что именно это теперь перспективная инфра. А то, что десятки лет было стандартом де-факто в корпоративной среде превратится в legacy, которое здесь и сейчас ещё поработает, но на горизонте 2025-2030 вряд ли от него хоть что-то ещё останется. Просто ух! 🙂

Мне как ИБшнику с бэкграундом именно в *nix безопасности наблюдать это, безусловно, отрадно. 😇 Конечно, если бы западные ОС вендоры начали сейчас жестить, резать обновления, а то и брикать устройства, то переход прошел бы гораздо быстрее, хоть и в авральном режиме. Видимо у этих вендоров свои причины пока не вести себя так. Хотя в том, что этот процесс идёт достаточно медленно тоже есть плюс, т.к. есть время провести миграцию на Linux нежно и аккуратно, с наименьшим стрессом для всех участвующих. 😏

А может этот переход вообще не случиться? Ну да, всякое возможно. Поглядим. Но в любом случае топить сейчас за этот переход видится делом нужным и правильным.

Отличные новости по моему опенсурсному проекту Scanvus!

Добавить комментарий

Отличные новости по моему опенсурсному проекту Scanvus!

Отличные новости по моему опенсурсному проекту Scanvus! Теперь вы можете проводить проверки на уязвимости Linux хостов и докер-образов не только с помощью API от Vulners.com, но и с помощью аналогичного API от Vulns.io. Особенно приятно, что весь код для поддержки нового API коллеги из Vulns.io написали и законтрибьютили сами. Оставалось только потестить, что все работает. За это им огромное спасибо!

Чем может быть полезна поддержка двух API детекта уязвимостей в Scanvus?

Добавить комментарий

Чем может быть полезна поддержка двух API детекта уязвимостей в Scanvus?

1. Нет привязки к одному вендору, выбирайте чьи условия вам нравятся больше.
2. Набор поддерживаемых ОС у Vulners.com и Vulns.io различается. Если какой-то Linux дистрибутив не поддерживается у одних, он может поддерживаться у других.
3. Реализации проверок независимые. Если при сканировании одного и того же хоста/образа результаты будут различаться, то будут наглядно видны ошибки/особенности реализации.
4. Scanvus выпускается под лицензией MIT, поэтому вы можете использовать его как пример работы с API Vulners.com и Vulns.io и использовать этот код в своих проектах.

Что дальше?

В настоящий момент поддержка API Vulners.com и Vulns.io реализована в равной степени, но она реализована независимо. Скрипты инвентаризации на bash для каждого из API различаются. Также используются 2 независимые функции репортинга. Скрипты для инвентаризации видится правильным унифицировать, чтобы эти результаты инвентаризации можно было бы проверить и с помощью Vulners.com и Vulns.io. Также напрашивается создание единого формата представления результатов детектирования, к которому можно будет приводить сырые результаты от API, и который можно будет использовать для построения отчетов и дальнейших интеграций. Кажется, что на примере работы Vulners.com и Vulns.io можно отладить схему добавления новых API в Scanvus.

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться

1 комментарий

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться. Посмотрел выступление директора ИСП РАН Арутюна Аветисяна.

1. Open Source сообщество американоцентрично. Это данность.
2. В некоторой степени компенсировать риски может анализ исходного кода с использованием инструментов ИСП РАН. "Безопасность и доверие не то место, где мы должны конкурировать".
3. Первый успешный проект это доверенное ядро Linux 5.10. Постоянно забираются патчи, в автоматическом режиме проводится анализ, выявленные ошибки/уязвимости исправляются, патчи ИСП РАН отдаются международному сообществу. "Получаем доверенное ядро, которое функционально соответствует тому, что находится в США, но находится под нашем контролем".
4. Компании, которые участвуют в проекте доверенного ядра Linux, войдут в новый "Консорциум доверенного ПО". ИСП РАН может стать апстримом для отечественных дистрибов не только по ядру, но и по критичному системному ПО.

Какие требования к вендорам отечественных Linux дистрибутивов можно было бы предъявить для упрощения Управления Уязвимостями?

4 комментария

Какие требования к вендорам отечественных Linux дистрибутивов можно было бы предъявить для упрощения Управления Уязвимостями?

Какие требования к вендорам отечественных Linux дистрибутивов можно было бы предъявить для упрощения Управления Уязвимостями? Если б я был регулятор. 🙂

1) Обновления безопасности должны быть. Критичная общелинуксовая уязвимость, должна быть пофикшена и в отечественном дистрибе. Или должно быть опубликовано обоснование, почему она неэксплуатируема.
2) Бюллетени безопасности должны быть. Клиенты должны как-то узнавать какую версию пакета нужно поставить, чтобы избавиться от критичной уязвимости.
3) Бюллетени безопасности должны быть публично доступны. Cпорный момент. Зависит от отношения к "security through obscurity". По мне закрытие доступ к бюллетеням усложняет жизнь исследователям, а злоумышленники все равно их получат через любого клиента.
4) Бюллетени безопасности должны быть доступны в машиночитаемом виде. Желательно в формате OVAL, раз уж он так распространен (RHEL, Suse, Ubuntu, Debian и даже отечественный RedOS)

Кстати узнал, что для RedOS есть официальный OVAL-контент (XML, 1.1 мб)

2 комментария

Кстати узнал, что для RedOS есть официальный OVAL-контент (XML, 1.1 мб)

Кстати узнал, что для RedOS есть официальный OVAL-контент (XML, 1.1 мб). И даже есть статья на русском как его использовать для детектирования уязвимостей на хостах при помощи OpenSCAP. VM-щикам сканеристам теперь можно удобно обновлять свои базы знаний, забирая данные из этой публично доступной XML-ки в стандартном формате. А не возиться с черти как оформленными бюллетеньками, которые ещё и не факт, что вообще есть. Нужно ли говорить, что в моём личном рейтинге отечественных операционных систем RedOS теперь взлетела в самый-самый топ. 😍 Молодцы 👍

Чем ответит купечество, т.е. остальные вендоры российских Linux-ов? 🙂

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

1 комментарий

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.