Архив метки: MaxPatrolVM

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

Добавить комментарий

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

Заметки по сегодняшнему запуску Max­Pa­trol VM 2.5, часть 2. Продолжаю делиться заметками.

Q&A сессия

🔹 Все стандарты CIS переносить не планируется. Будут курсы по продукту, чтобы можно было реализовать их самостоятельно в HCC.
🔹 Вся инфра в облаке? Ставьте MPVM в облако.
🔹 Max­Pa­trol VM Light будет — следите за обновлениями. 😉
🔹 Первое на что стоит смотрить при устранении уязвимостей — трендовые уязвимости
🔹 PT Black­Box отличается целевой аудиторией. У PT Black­Box целевая аудитория AppSec, а у MPVM — инфраструктурные VM-щики.
🔹 Лицензия на сканирования тратится, когда рассчитывается уязвимость для хоста.
🔹 Новый интенсив по Max­Pa­trol VM стартует в сентябре.
🔹 Сканировать web-таргеты правильнее по fqdn.
🔹 Настройка цепочек задач? В бэклоге.
🔹 Анализ мобильных устройств? Пока такого запроса нет, т.к. сложно патчить устройства.
🔹 Постановка задач IT? Пока интеграция с тикетницами через API, но следите за новостями. 😉
🔹 А если Nuclei не подтвердил? Будет просто показывать, что для уязвимости есть эксплоит.
🔹 Когда будет доступна новая версия? Можно завтра с утра, но рекомендуем ставить с понедельника.
🔹 Когда будет поддержка ИнфоТеКС? Есть в роадмапе. Есть сложности с получением рута. Вообще про российские решения: об уязвимостях нужно как-то узнать — вендоры должны где-то уязвимости публиковать (ИнфоТеКС тут молодцы)
🔹 Редактор кастомных требований в самом VM будет.
🔹 Тёмная тема будет с переездом на новый Angu­lar.
🔹 Функционал очистки? В работе. Процессинг — зарелижен, Scans — в работе, TRM — для части есть.

Заметки по сегодняшнему запуску MaxPatrol VM 2.5

Добавить комментарий

Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5

Заметки по сегодняшнему запуску Max­Pa­trol VM 2.5. Max­Pa­trol VM — cистема управления уязвимостями нового поколения, которая реализует полное построение VM-процесса: управление активами, детектирование, приоритизация и контроль устранения уязвимостей. Уже более 500 инсталляций и их число стремительно растёт. Главная цель MP VM — не допустить эксплуатацию уязвимости в инфраструктуре.

Чем этого добиваемся?

🔹 Полное покрытие периметра, ключевых и целевых систем.
🔹 Экспертиза Pos­i­tive Tech­nolo­gies + кастомизация продукта ("Нельзя покрыть все потребности всех клиентов" -> "Дать возможности клиентам самим или с помощью интеграторов разрабатывать детекты") ⬅️ Имхо, про кастомизацию это тектонический сдвиг для отечественного VM‑а.

Три главных нововведения:

1. Сканирование веб-приложений. Эксплуатация уязвимостей на периметре в ТОП 2 векторов проникновения по данным НКЦКИ. Для поиска уязвимостей веба раньше был нужен отдельный DAST-сканер (MP8, PT Black­Box), сейчас полноценное DAST-сканирование веб-приложений возможно делать прямо в MPVM. Функционально там тот же движок, что и в PT Black­Box.

🔩 Крутая фишка — интегрировали в Max­Pa­trol VM опенсурсный сканер уязвимостей Nuclei для валидации наличия уязвимостей, определенных баннерным детектом. Уязвимости, которые подтверждены нуклеем, рекомендуют исправлять в первую очередь, а остальные в плановом порядке.

Новый профиль сканирования Web Scan Opti­mal. Можно сканировать с аутентификацией.
Добавили новые системные дашборды: критически важные веб уязвимости на активах, Топ-20 уязвимых приложений.
Для веб-уязвимостей будут также работать политики, чтобы автоматически изменять их статус и отслеживать сроки исправления.
❗️При этом одного DAST-сканирования Max­Pa­trol VM недостаточно для защиты самописных веб-приложений: нужны анализаторы кода (PT AI) + Appli­ca­tion Fire­wall (PT AF) + аудиты безопасности.

2. Кастомные комплаенс-проверки в HCC ("жить по своим требованиям"). Нужны если PT что-то не поддерживает или клиенты хотят сделать более расширенные проверки (сами или силами интеграторов).
Нужно подготовить 3 файла:
Файл 1 — значение параметра по умолчанию
Файл 2 — локализация требования
Файл 3 — исходный код требования

Можно экспортнуть имеющиеся требования, подредактировать и импортнуть обратно. Стандарт с требованиями можно редактировать как YAML.

3. Сканирование Dock­er. Раньше Max­Pa­trol не мог детектировать уязвимости в докер-контейнерах на Lin­ux хостах — теперь может. Поддерживаются контейнеры на основе Ubun­tu, Debian u Alpine Lin­ux. По сути проваливаемся в контейнер и делаем те же детекты, что и на Lin­ux хосте.

⚠️ Самое главное: никаких дополнительных лицензий не нужно! Если есть VM и HCC, просто обновляем и пользуемся!

Что ещё?

🔹 Мобильный сканер. Упростили перенос данных. Можно переносить результаты сканирования (а не активы). Задачи видны как импортированные.
🔹 Задачи на сканирование можно группировать по папкам (и запускать всю папку).
🔹 Можно ограничивать доступ к задачам на сканирование.
🔹 Технологические окна. "Запрещённое время сканирования". Задача ставится на паузу, после "просыпания" снова запустится сканирование с последнего хоста (сканирование хоста запустится заново).
🔹 Проверка транспортов и учётных записей. Можно выпустить отчёт по результатам сканирования.
🔹 У ручных задач выше приоритет, чем у запущенных по расписанию.
🔹 Теперь 20 потоков сканирования для одной задачи. Это настраивается в GUI и сбрасываться при обновлении не будет.
🔹 Топология в отдельной вкладке с возможностью переименования сетей.
🔹 Анализ топологий с компонентами связности.
🔹 Новые виджеты для HCC.
🔹 Глобальные исключения хостов из сканирования.
🔹 Новые отчёты по XLSX шаблону (можно делать свои).
🔹 Пентестовые проверки могут обновляться из облака (пакетная доставка). Раньше так доставлялись только аудитные.

Во второй части будет содержание Q&A.

Upd. Продолжение

Квиз перед сегодняшним запуском MaxPatrol VM 2.5

Добавить комментарий

Квиз перед сегодняшним запуском MaxPatrol VM 2.5Квиз перед сегодняшним запуском MaxPatrol VM 2.5

Квиз перед сегодняшним запуском Max­Pa­trol VM 2.5. Что-то тугодумил и срезался на последнем вопросе. Причём уверен, что вариант про "бодания с IT-шниками" более правильный и реалистичный. 😅

Вебинар по запуску Max­Pa­trol VM 2.5 начинается в 14:00, подключайтесь!

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3)

Добавить комментарий

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3)

Как СберКорус с помощью TS Solu­tion с нуля выстраивали у себя VM-процесс на Max­Pa­trol VM (часть 3). Завершаю серию постов про выступление Романа Журавлева из TS Solu­tion и Никиты Аристова из СберКоруса на конференции СФЕРА Cyber­se­cu­ri­ty. В прошлый раз было про кастомные виджеты и прокачку Max­Pa­trol VM, а сейчас будет про планы СберКоруса на будущее.

Технические планы

🔸 В идеальной картине мира хотят получать в VM уязвимости из контейнеров. Тестируют PT Con­tain­er Secu­ri­ty.
🔸 Уязвимости из VM планируют передавать в Threat Intel­li­gence. Там создастся репутационный список индикаторов компрометации, связанных с эксплуатацией уязвимостей. Этот список будет блокироваться на межсетевых экранах. Этот же список уйдёт в SOC для упрощения расследований. Уязвимости также планируют передавать в SOC (наличие некоторых уязвимостей это инцидент сам по себе и они должны мониториться 24/7 и оперативно исправляться).
🔸 Автоматизировать создание задач на ответственных в ITSM системах Jira и Nau­men.
🔸 В SGRC передавать список активов и список уязвимостей на этих активах. В процессе пилотирования. Сейчас в MPVM нет функциональности по постановке задач, поэтому нужно решать это интеграциями.
🔸Хотят получать список активов из CMDB. Если актив есть в CMDB, помечаем в VM‑е как легитимный. Если нет — разбираемся с Shad­ow IT. Также хотят обогащать активы CMDB техническими данными из VM‑а.

После прикручивания интеграций к Max­Pa­trol VM в СберКорус могут смело сказать, что "Инвестиция нашего руководства в безопасность окупается. Продукт реально работает, на него завязано много процессов, которые делают много полезного и все счастливы, все улыбаются, даже наш коммерческий директор". 🙂

Q/A: Можно ли контролировать виртуализацию облачного провайдера (компания спрашивающего пострадала от эксплуатации такой уязвимости)? Конечно нет. По договору никто туда не пустит. [ На эту тему в КиберДуршлаге с Алексеем Лукацким было хорошо ].

Очень классное выступление, побольше бы таких! 👍 🙂

Хакатон MaxPatrol VM, часть 2: Ansible playbook для установки ПО из TAR-архива

Добавить комментарий

Хакатон MaxPatrol VM, часть 2: Ansible playbook для установки ПО из TAR-архива

Хакатон Max­Pa­trol VM, часть 2: Ansi­ble play­book для установки ПО из TAR-архива. Прошлая часть была про то, как я подготавливал виртуалку на Lin­ux, чтобы работать с ней с помощью Ansi­ble. По первому заданию мне нужно было поставить с помощью Ansi­ble некоторые программное обеспечение из TAR-архива (обозначим здесь как Libre Data Ana­lyt­ics). Чтобы его установить необходимо просто скачать архив с сайта и распаковать в любую директорию. Я решил делать это прямо в домашнюю директорию пользователя vmuser. 🙂

Сам play­book аналогичен тестовому, который я запускал в прошлый раз. Такая же последовательность task-ов Ansi­ble. Только в этот раз кроме тасков типа , который позволяет выполнять bash-скрипты, я использовал более специализированные.

1. — создание временной директории
2. — скачивание файла архива
3. — разархивирование архива
4. — удаление файла архива
5. — копирование из временно директории в постоянную
6. — удаление временной директории
7. — получение фактической версии ПО и запуск ПО с дефолтными параметрами (требуется по условию задания)
8. — вывод фактической версии ПО

Необходимую версию ПО и путь до директории, куда будет установлено ПО, оформил в виде переменных и .

Код плейбука:

- name: Install Libre Data Analytics from tar.gz file
  hosts: all
  vars:
    libre_data_analytics_version: 2.13.0
    libre_data_analytics_path: "/home/{{ ansible_user }}/"
  tasks:
    - name: Create temporary download directory
      ansible.builtin.tempfile:
        state: directory
        prefix: libre-data-analytics-
      register: download_dir
      
    - name: Download Libre Data Analytics archive
      ansible.builtin.get_url:
        url: "https://artifacts.libre-data-analytics.org/releases/bundle/libre-data-analytics/{{ libre_data_analytics_version }}/libre-data-analytics-{{ libre_data_analytics_version }}-linux-x64.tar.gz"
        dest: "{{ download_dir.path }}/libre-data-analytics.tar.gz"
        mode: '0640'

    - name: Extract Libre Data Analytics files
      ansible.builtin.unarchive:
        src: "{{ download_dir.path }}/libre-data-analytics.tar.gz"
        dest: "{{ download_dir.path }}"
        remote_src: true

    - name: Remove libre_data_analytics_path
      ansible.builtin.file:
        path: "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"
        state: absent  

    - name: Copy files to the libre_data_analytics_path
      ansible.builtin.copy:
        src: "{{ download_dir.path }}/libre-data-analytics-{{ libre_data_analytics_version }}"
        dest: "{{ libre_data_analytics_path }}"
        remote_src: true

    - name: Remove temporary download directory
      ansible.builtin.file:
        path: "{{ download_dir.path }}"
        state: absent  
        
    - name: Get Libre Data Analytics version 
      ansible.builtin.shell: cd "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"; ./bin/libre-data-analytics -V
      register: installed_version

    - name: Libre Data Analytics
      ansible.builtin.shell: cd "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"; nohup ./bin/libre-data-analytics  /dev/null 2>&1 &

    - name: Display Outputs
      debug:
        msg: "Path: {{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}, installed version from binary {{ installed_version.stdout }}"

Для сдачи я разбил плейбук на файлы и директории, как это было сделано в примере выполненного задания:

nginx_from_repo_on_ubuntu
├── playbook.yaml
└── roles
    └── nginx_from_repo_on_ubuntu
        ├── defaults
        │   └── main.yaml
        └── tasks
            └── main.yaml

В итоге задание у меня успешно приняли. 👍 Можно двигаться дальше. 🙂

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2)

Добавить комментарий

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2)Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2)Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2)

Как СберКорус с помощью TS Solu­tion с нуля выстраивали у себя VM-процесс на Max­Pa­trol VM (часть 2). Продолжаю отсматривать выступление Романа Журавлева из TS Solu­tion и Никиты Аристова из СберКоруса на конференции СФЕРА Cyber­se­cu­ri­ty. В прошлый раз остановились на кастомных виджетах.

📊 Кастомные виджеты. Разработали около 50 кастомных виджетов, которые позволяют отслеживать процессы, и чуть больше 100 PDQL-запросов.

🔹 На скриншоте видны однотипные виджеты "Статистика по аудиту" для разных групп активов (ARM онлайн за 7 дней, ARM, VDI, Win­dows Серверы, Сетевое оборудование, 2 замазанные группы по принадлежности к системам). Возможные значения: "Аудит не проводился", "Аудит в течение 7 дней", "Аудит старше 7 дней".
🔹 Также виден виджет "Доля активов с неустраняемой уязвимостью" со значениями "Активы с устраняемыми уязвимостями" и "Активы с неустраняемыми уязвимостями".

🥄 Ложка дёгтя — непобеждённая проблема. При серьёзной нагрузке выяснилось, что не справляется база данных Post­greSQL. Полной победы за год не достигли, как временное решение в 4 раза увеличили ресурсы. 🤷‍♂️

🚙 Прокачка Max­Pa­trol VM

"Max­Pa­trol VM как метафорические Жигули. Свою базовую функцию он выполняет: активы ищет, уязвимости рассчитывает. Но дальнейший процесс [тюнинга] никогда не закончится. Его абсолютно точно есть куда развивать, у него много возможностей. Дальше будет как превратить Жигули в Мерседес, при том что Мерседес для каждой компании будет свой".

[ От себя скажу: полностью согласен. Vul­ner­a­bil­i­ty Man­age­ment — это прежде всего процесс выстроенный с использованием какого-либо продукта. Считать, что купил продукт и всё само заведётся, а в компании сам собой появится рабочий процесс довольно наивно. Нужно работать, затачивать его под себя. С другой стороны, базовую функциональность по работе с активами, уязвимостями, аналитике тоже недооценивать не следует. Если она в продукте так себе, то будет классическое "мусор на входе — мусор на выходе". ]

🔻 Показали схему Secu­ri­ty Gate по выводу продуктов на периметр, включающий проверки AppSec (проверка кода) и инфраструктурного VM‑а. Про то, что эти 2 направления имеют пересекающиеся функции в рамках, например, DAST сканирования, я писал ранее.
🔻 "В Max­Pa­trol VM неплохой модуль BI (Busi­ness intel­li­gence)". Считают покрытие сканированиями, покрытие СЗИ (антивирусы и EDR для Lin­ux и Win­dows), динамику уязвимостей за неделю.
🔻 Контроль активов: контроль работы служб СЗИ (запущена и добавлена в автозапуск), контроль состава установленного ПО (нелегитимное, нежелательное), дубликаты активов, переустановки ОС, SSH (контроль перевода на аутентификацию по ключам), свободное место на жёстких дисках (выгружают за 5 минут).
🔻 Контроль пользователей: привязка администраторской УЗ к АРМy, контроль сеансовой работы под УЗ с правами администратора (контроль активных пользователей; админская учётка должна использоваться только для повышения привилегий, а не для постоянной работы), контроль нелегитимных прав локального администратора (завели резервную учётку или временная учётка стала постоянной), смена пароля после киберучений (для попавшихся на учебные фишинговые рассылки).
🔻 Инциденты ИБ ("Max­Pa­trol VM — это осколок от Max­Pa­trol SIEM, какие-то инциденты можно смотреть в VM‑е"): сотрудник снял образ своего АРМ‑а и развернул виртуальный АРМ из образа на своём личном ноутбуке и с него работал (проверка по ID установки и является ли хост виртуалкой), подключение по RDP в обход PAM (контроль коммерческого SOC).

Заключительная третья часть будет про планы по развитию VM-процесса в СберКорусе.

upd. Третья заключительная часть

Основная фича грядущего июньского релиза MaxPatrol VM 2.5 — новый сканер веб-приложений

Добавить комментарий

Основная фича грядущего июньского релиза MaxPatrol VM 2.5 - новый сканер веб-приложений

Основная фича грядущего июньского релиза Max­Pa­trol VM 2.5 — новый сканер веб-приложений. И здесь речь не только о детектах для известных CVE уязвимостей, например, для Con­flu­ence или Git­Lab, которые, безусловно, очень важны для любого VM-продукта, о чём я уже писал ранее. Речь о полноценном DAST-сканере уязвимостей, с такой же функциональностью как в решениях PT Black­Box и PT AI.

Вообще вопрос о месте DAST-сканирования WEB-приложений дискуссионный. Этим нужно заниматься в рамках инфраструктурного VM‑а или в рамках процессов AppSec‑а? Рассмотрим аргументы.

Аргументы за AppSec:

🔻 Таргеты различаются. DAST-ом обычно сканят собственные разработки, а не чужие (коммерческие и опенсурсные) продукты. Если собственная разработка, значит AppSec.
🔻 Таски на исправление найденных уязвимостей летят в разработчиков, а не в админов. Опять же, разработка = AppSec.
🔻 Если же сканировались чужие продукты и при этом были найдены уязвимости, то по-хорошему нужно довести эту инфу до вендора и не попасть при этом под какие-нибудь юридические ограничения (анализ приложения может быть запрещён в лицензионном соглашении). Эти активности также более привычны AppSec-ам.
🔻 Одного DAST‑а для полноценного анализа приложений всё равно не хватит, нужен SAST, IAST. Давайте не будем заниматься ерундой и будем анализировать приложения полноценно в рамках процессов AppSec.

Аргументы за инфраструктурный VM:

🔹 Вот сканируем мы хост и видим там веб-сервис (нашу разработку или не нашу — не суть важно). Почему бы не проверить его на ту же XSS-ку? Как-то глупо ограничивать себя только детектом CVE-шных уязвимостей. Тем более, что AppSec‑и могут этот веб-сервис своими процессами вообще не покрывать, а мы может что-то массовыми сканами и продетектим.
🔹 Вот выстроили мы в рамках инфраструктурного VM‑а процесс по поиску и исправлению известных уязвимостей. Почему бы не переиспользовать его и для web-уязвимостей? И там уязвимости, и там уязвимости. Удобно ведь будет работать со всеми уязвимостями в рамках одной единой системы, разве нет? 😏

В общем, есть аргументы у обеих сторон. В реальных организациях скорее это зависит от развития AppSec и VM отделов, кто кого подомнёт. 🙂 Моё мнение, что сканить веб-приложения DAST-ом должны и AppSec‑и, и инфраструктурные VM-щики. Хуже не будет. А база для хранения продетектированных уязвимостей должна быть у них, в идеале, единой.

Но как бы ни выглядел итоговый процесс, его можно будет реализовать с помощью продуктов Pos­i­tive Tech­nolo­gies. 😉

➡️ Более подробно о фичах нового Max­Pa­trol VM 2.5, включая сканирование веб-приложений, можно будет узнать на вебинаре 13 июня в 14:00. Регистрируйтесь!