Архив метки: MaxPatrolVM

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

Добавить комментарий

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостямиНа сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями

На сайте компании Инфосистемы Джет опубликованы результаты тестирования решений для управления уязвимостями. В настоящий момент есть данные по Max Patrol VM V.2.8 (27.3) и RedCheck V.2.9.1. Ещё 6 решений в процессе тестирования. Сравнение шло по 74 критериям с использованием открытой методики тестирования. Это не просто заполнение опросников VM-вендором, а результаты практической работы с развёрнутыми решениями. Сравнительные таблицы доступны на web-странице и в pdf.

Что с проверкой качества детектирования известных (CVE, БДУ) уязвимостей? Ну, некоторый прогресс есть. В прошлогоднем сравнении от CyberMedia на это выделялся один критерий, а тут уже 6 по типам активов. 🙂 Но деталей нет. 🤷‍♂️ Например, оба решения просканировали Windows-хост, но насколько совпали результаты детектирования - непонятно. Это самое интересное, что может быть в подобных сравнениях VM-решений. И этого сейчас нет. Хочется надеяться, что появится. 😉

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Добавить комментарий

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:

🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ

Добавить комментарий

Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.

В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?

00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day

🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024

Понравился доклад? 🗳 Проголосуй за него! 😉

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Добавить комментарий

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями

Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:

🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)

Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂

Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅

Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.

В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Добавить комментарий

Посмотрел выступление про MaxPatrol VM и HCC на PSDay

Посмотрел выступление про MaxPatrol VM и HCC на PSDay. Если резюмировать, то за год было 3 большие новые фичи:

🔻 Web-сканирование
🔻 Сканирование Docker
🔻 Возможность добавления своего контента в HCC

Уже сейчас на портале доступны бесплатные курсы по расширению аудита и добавлению пользовательских требований и стандартов. В следующем году процесс добавления контента упростится: выйдет SDK для расширения аудита и графический интерфейс для редактирования стандартов. Про добавление своих правил детектирования уязвимостей пока молчат, но ждём. 😇

Активно внедряется ML. В ближайшее время появится возможность делать запросы по уязвимостям и активам на естественном языке. 🤖

Для больших организаций с несколькими инсталляциями MaxPatrol VM выйдет обновленный Reporting Portal.

Были и будут многочисленные улучшения для оптимизации работы PDQL и генератора отчётов, более быстрой доставки правил детектирования, улучшения веб-интерфейса и т.д.

Добавление своего контента в MaxPatrol HCC

Добавить комментарий

Добавление своего контента в MaxPatrol HCC

Добавление своего контента в MaxPatrol HCC. 10 сентября прошёл вебинар Positive Technologies про то, как собирать произвольные параметры с активов сети с помощью Audit Extension в MaxPatrol VM, а затем реализовать комплаенс-проверку этих параметров с помощью MaxPatrol HCC. Видеозапись уже доступна.

Первый пример был про проверку отсутствия Telegram-а на хосте (непожатая картинка):

1. Готовим Audit Extension для сбора данных.
2. Подкладываем Audit Extension на сканер (агент) и смотрим новый собранный софт в MPVM.
3. Готовим комплаенсовую проверку, собираем в zip-архив и загружаем в Библиотеку требований.
4. Собираем стандарт из комплаенсовых проверок и импортируем его.
5. Смотрим стандарт в MPVM.
6. Смотрим результаты выполнения проверки PDQL-запросом.

Ещё были примеры с проверкой политики блокировки макросов, наличия и работы EDR-агента, настроек Sysmon и PostgreSQL.

Все файлы выложили, можно самостоятельно поиграться. 😇

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

1 комментарий

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2. Продолжаю делиться заметками.

Q&A сессия

🔹 Все стандарты CIS переносить не планируется. Будут курсы по продукту, чтобы можно было реализовать их самостоятельно в HCC.
🔹 Вся инфра в облаке? Ставьте MPVM в облако.
🔹 MaxPatrol VM Light будет - следите за обновлениями. 😉
🔹 Первое на что стоит смотрить при устранении уязвимостей - трендовые уязвимости
🔹 PT BlackBox отличается целевой аудиторией. У PT BlackBox целевая аудитория AppSec, а у MPVM - инфраструктурные VM-щики.
🔹 Лицензия на сканирования тратится, когда рассчитывается уязвимость для хоста.
🔹 Новый интенсив по MaxPatrol VM стартует в сентябре.
🔹 Сканировать web-таргеты правильнее по fqdn.
🔹 Настройка цепочек задач? В бэклоге.
🔹 Анализ мобильных устройств? Пока такого запроса нет, т.к. сложно патчить устройства.
🔹 Постановка задач IT? Пока интеграция с тикетницами через API, но следите за новостями. 😉
🔹 А если Nuclei не подтвердил? Будет просто показывать, что для уязвимости есть эксплоит.
🔹 Когда будет доступна новая версия? Можно завтра с утра, но рекомендуем ставить с понедельника.
🔹 Когда будет поддержка ИнфоТеКС? Есть в роадмапе. Есть сложности с получением рута. Вообще про российские решения: об уязвимостях нужно как-то узнать - вендоры должны где-то уязвимости публиковать (ИнфоТеКС тут молодцы)
🔹 Редактор кастомных требований в самом VM будет.
🔹 Тёмная тема будет с переездом на новый Angular.
🔹 Функционал очистки? В работе. Процессинг - зарелижен, Scans - в работе, TRM - для части есть.