Архив метки: MaxPatrolVM

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Добавить комментарий

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России

Коллеги замутили сегодня эпичную коллабу с официальным каналом Минэкономразвития России.

🔹 В 13:02 в канале вышло загадочное сообщение о взломе аккаунта (на иллюстрации). Похожие сообщения частенько размещают злоумышленники, которым удалось полностью скомпрометировать инфраструктуру организации.

🔹 Через 4 минуты, в 13:06, вышло второе сообщение, из которого стало ясно, что это подводка к awareness-комиксу Positive Technologies. По сюжету злобное привидение пытается проэксплуатировать уязвимость MyQ Print Server, вероятнее всего RCE без аутентификации CVE-2024-28059. Но у него ничего не получилось, так как уязвимость уже была выявлена с помощью MaxPatrol VM и устранена. 🙂

Вот такое эффектное широковещательное сообщение о пользе Vulnerability Management-а. PR-щикам Минэкономразвития респект за смелость! 🔥

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации

Добавить комментарий

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации. Раньше, до версии 27.4 (2.9), единственным способом получения токенов аутентификации был запрос к mpvm_url + ':3334/connect/token' с указанием логина, пароля и параметра ClientSecret из конфига /var/lib/deployer/role_instances/Core/params.yaml на сервере. Не очень удобно, но жить можно.

Начиная с версии 27.4 (2.9), в продукте появился удобный интерфейс для работы с токенами. Можно зайти в PT Management Console, в левом нижнем углу нажать на значок с человечком и вашим логином, выбрать опцию "Токены доступа". Затем "+ Создать". Указать название, описание, срок действия и необходимые привилегии. И вуаля - готовый токен. Удобно, наглядно и в конфиг на сервере лезть не требуется. 👍

Этот токен можно использовать в скрипте ровно так же, как и токен, получаемый через API по логину/паролю и ClientSecret. Например, выполнять с его помощью PDQL запросы. 😉

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями

Добавить комментарий

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями

Основной VM-ный мессадж Positive Technologies в этом году: представление трёх современных классов решений для работы с уязвимостями.

🟥 Advanced Vulnerability Assessment - качественное детектирование уязвимостей с планировщиком сканов, дифф-отчётами, информативными how to fix-ами. Здесь будет новый продукт.

🟥 Risk-Based Vulnerability Management - организация процесса управления уязвимостями и мисконфигурациями с учётом полной информации об уязвимостях и активах. Это MaxPatrol VM и модуль MaxPatrol HCC.

🟥 Threat Exposure Management - продвинутая приоритизация проблем безопасности (не только технических уязвимостей, а экспозиций разного уровня ❗️) через построение потенциальных путей атак. Это MaxPatrol Carbon.

Нетрадиционное использование комплаенс-сканирования

Добавить комментарий

Нетрадиционное использование комплаенс-сканирования

Нетрадиционное использование комплаенс-сканирования. Как правило, комплаенс-сканирование в организации преследует две цели:

🔹 Удостовериться, что настройки сетевых хостов удовлетворяют регуляторным требованиям.

🔹 Проверить хосты на соответствие требованиям практической безопасности (харденинга), чтобы максимально усложнить эксплуатацию уязвимостей на этих хостах.

Иногда эти цели совпадают, иногда не особо. 😉 Но есть и третья цель:

🔻 Удостовериться, что настройки хостов позволяют средствам защиты информации работать адекватно.

В качестве примера можно привести статью моего коллеги по PT ESC, Романа Чернова, о настройке аудита на Linux-хостах таким образом, чтобы данных было достаточно для надёжного детектирования инцидентов SIEM-ом.

Как можно видеть на схеме, отслеживать корректность настроек логирования в Linux не так-то просто. 😱 Но эту задачу можно решать автоматизированно с помощью комплаенс-сканов MaxPatrol HCC. 😉

Главные преимущества MaxPatrol VM на российском рынке

Добавить комментарий

Главные преимущества MaxPatrol VM на российском рынке

Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂

🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.

🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.

🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

Добавить комментарий

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.

Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷‍♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Добавить комментарий

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:

🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.