Расписал таймкоды, комментарии и ссылки на дополнительные материалы для выпуска подкаста "КиберДуршлаг" про Управление Уязвимостями со мной.
00:00 Паша торжественно бьёт в дуршлаг, здороваемся, я рассказываю чем занимаюсь и пиарю свои телеграмм-канальчики. 🙂 01:32 Как я начал заниматься безопасностью и VM-ом. Рассказываю как я довольно случайно прошёл на ИУ8 МГТУ Баумана по собеседованию для медалистов. VM-ом начал заниматься из-за первой работы в Позитиве и вот так дальше пошло-поехало. 04:06 Пригодился ли мне универ? Рассказываю, что, как и многие, не понял прикол с дикими объемами дискретки. Но безусловно базу дало. Не устаю пиарить курс Валентина Цирлова по ТОИБАС. 06:00 Начинаем с определения уязвимости. Определяю как багу, которую может использовать злоумышленник. Миша накидывает про мисконфигурации. Я вспоминаю про CCE и CCSS. 08:23 Классическая тема: сканеры уязвимостей, Vulnerability Management решения, Vulnerability Management процесс. Выражаю скепсис по поводу принципиальной разницы между сканером уязвимостей и VM-решением. Вспоминаю про шведов с Антифишингом в VM-ме. Паша накидывает: а нужен ли в VM-е контроль целостности? VM-процесс он про исправление уязвимостей, причём силами IT. 13:36 Миша спрашивает: "Что входит в процесс управления уязвимостями"? По факту на вопрос не отвечаю, а рассказываю почему основа VM-а это управление активами. 😏 18:59 Обсуждаем CVSS и методику оценки критичности уязвимостей ФСТЭК. Вспоминаю ОСОКу. Трендовых уязвимостей тоже касаемся. Агитирую за безусловный патчинг, указывая на куцые описания уязвимостей из MS Patch Tuesday. Вспоминаю про Linux Patch Wednesday. 30:38 Безусловные обновления плохо сочетаются с требованиями по проверке патчей западного ПО, включая open source. Выход? Импортозамещение! Рекомендательный алгоритм НКЦКИ и методика оценки обновлений ФСТЭК, что из этого более приоритетно? Вопрос к методологам. 34:40 Призываем отечественных вендоров публиковать уязвимости. 37:38 Vulnerability Management процесс в организации сложно построить? Какие люди нужны? Организации разные. Начинать нужно с руководства. Рассказываю про докажи-покажи. 43:21 Можно ли построить VM-процесс на open source решениях? Вполне реально сканить порты, детектить линуксовые уязвимости по пакетам. Но есть ограничения детектирования и спросить вам будет не с кого. С Windows всё плохо. 48:16 Обсуждаем уход западных VM-решений с российского рынка. Как это было? 50:17 Обсуждаем должен ли Compliance Management входить в VM и в чём проблема текущей реализацией CM в VM решениях и текущих стандартов конфигурирования. 56:52 Какая функциональность должна быть реализована в VM решении это вопрос регуляторный. Может нужна сертификация? 🤔 58:24 Крутое VM-решение для каждого клиента своё. Кому-то нужна "коробка", кому-то только детекты. 01:02:11 Вопрос VM-вендорам: почему такая разница в результатах детектирования между решениями от двух вендоров? Может сертификация нужна? 🤔 Паша и Миша накидывают кейсы по MS, которые могут давать расхождения. Хорошо, когда логика детектирования прозрачна и доступна для изучения. 01:07:00 Как я вижу развитие VM решений. Хотелось бы хорошего качества детектирования с фокусом в сторону импортозамещающей инфры. Также хотелось бы возможностей по добавлению уязвимостей со стороны и собственных детектов. 01:11:09 Торжественное вручение мне ведра с подарками. 😁
Подписывайтесь на КиберДуршлаг на удобных вам платформах по ссылкам в официальном посте!
9 октября Позитивы запускают новый продукт MaxPatrol EDR. Что это значит в контексте Vulnerability Management-а? То, что у PT теперь будет решение, предполагающее установку агентов на хостах. В первую очередь эти агенты будут собирать данные для отслеживания и блокировки зловредной активности. Но также напрашивается и идея использовать эти агенты для инвентаризации, чтобы детектить уязвимости и мисконфигурации. Так что будем следить за этой темой. Вполне вероятно, что до полноценного агентного сканирования в MaxPatrol VM может быть не так далеко.
Судя по фразе в лендинге "Автоматизирует обнаружение и реагирование, обеспечивает своевременную и непрерывную защиту устройств на различных операционных системах", агенты должны выпустить и под Windows, и под Linux.
Что нам стоит Vulnerability Management решение построить? В прошлом году у меня была серия постов о сложности создания своего VM-продукта (часть 1, часть 2, часть 3). Сегодня посмотрел выступление Михаила Козлова на недавнем IT-пикнике, которое тоже раскрывает эту тему. Михаил руководит продуктом MaxPatrol VM в Positive Technologies. И, кстати, у него тоже есть телеграмм-канал @KozTV, заходите подписывайтесь! 😉 Первая половина его выступления это подводка про уязвимости для широкой аудитории, а вторая половина, с 9:48, это срыв покровов про то как устроена разработка MaxPatrol VM, какие там есть нестандартные команды, чем ребята занимаются, как результаты их работы между собой стыкуются. Мне кажется, это должно быть интересно и для клиентов, чтобы осознавать масштаб и сложность того, что происходит под капотом MP VM, и для разработчиков VM-решений (текущих и будущих). 😉
Какие команды были упомянуты:
🔹Команда пентестеров. Их экспертиза используется для определения трендовых уязвимостей. 🔹Команда пайплайнов. Разрабатывают роботов, которые занимаются сбором информации об уязвимостях. Уже более 150 роботов работает! Тоже когда-то этим занимался для наполнения базы знаний MP8. 🙂 🔹Команда сбора инвентаризационных данных из систем (для работы сканирующего агента, модуля Аудит, модуля Пентест). Разные специализации, т.к. разные требования к реализуемым проверкам. 🔹Команда экспертов по системам. 🔹Команда ML. Определяют кандидатов на трендовые уязвимости. 🔹Команда ядра MaxPatrol VM. Отвечают за масштабирование системы.
Кстати, как видим на скрине, пока сбор данных об активах исключительно безагентный, но полноценных агентов тоже ждём. 🙏
Посмотрел запись онлайн-запуска MaxPatrol VM 2.0 и MaxPatrol HCC. Выписал некоторые тезисы. 🙂
По уязвимостям
В рамках пилотов MaxPatrol VM в организациях находят в среднем ~30к уязвимостей, из них ~50 особо критичных и легко эксплуатируемых.
Главное согласовать SLA на исправление уязвимостей в организации. Идеально укладываться в 24 часа для особо критичных (что и ФСТЭК рекомендует).
Большой акцент на "трендовые уязвимости", которые отбирает и подсвечивает PT на основе пентестов и хитрого анализа данных.
От меня: фокус на собственную приоритизацию сейчас у всех топовых VM-вендоров. Например, Tenable VPR и Qualys TruRisk.Дело хорошее 👍
Информация о трендовых уязвимостях попадает в MaxPatrol VM с минимальной задержкой благодаря архитектурным изменениям в базе знаний. Привели пример кейса по добавлению трендовой уязвимости для софта (22:45), который в MaxPatrol VM вообще не поддерживается (VirtualBox). Если вдруг будет трендовая супер-критичная уязвимость, несмотря на отсутствие поддержки, исследователь добавит её с SLA в 12 часов.
По контролю конфигураций
Новый модуль HCC, лицензируется отдельно. Проблематика - очень много противоречивых требований, соответствовать всему невозможно.
Предлагается следующий процесс:
Этап 1. 1. Определение регламента принятых стандартов. Возможно надергать требований из CIS Benchmarks, чтобы составить свой. 2. Определение правил и задач по работе со стандартом, которые направляются IT-специалисту. 3. Проверка соответствия активов. 4. Проводим troubleshooting, возможно с видоизменением стандарта. 5. Принятие и внедрение стандарта на живую информационную систему. Этап 2. Работа с отчётами по нарушению требований (исправление или корректировка стандартов), разработка новых стандартов.
Сейчас в HCC доступный 17 стандартов PT Essential (44:13). Они разработаны совместно с пентестерами:
Windows Desktop Windows Server Microsoft SQL Server Generic Linux Oracle Database VMware ESXi VMware vCenter Microsoft Exchange RHEL-based Linux HP UX IBM AIX Linux Kernel Docker Cisco IOS Cisco IOS XE Cisco ASA года Cisco Nexus
Можно отслеживать коммуникацию с IT и выполнение установленных сроков в рамках политик.
Отдельного комплаенс сканирования нет, используется та же инвентаризация аудита. Проверки реализованы в виде запросов на собственном языке. Функционально можно сравнить с .audit от Tenable. Есть шансы, что в перспективе дадут делать свои проверки на нем. 😉
Из PT Essentials можно надёргать требований и составить из них свой стандарт.
Подробнее про PT Essential - Linux Kernel
В ядре Linux >30 млн. строк кода, 4000 разработчиков в год участвуют, каждый день 8000 строк меняются. Множество уязвимостей, особенно из-за ошибок доступа к памяти. Уязвимости добавляются быстрее, чем исправляются. Среднее время жизни критической уязвимости в ядре 5,5 лет. Проект Kernel Self Protection Project - "подушка безопасности" для устранения некоторых проблем как класса. Есть карта средств защиты ядра. Стандарт для ядра Linux был реализован с использованием этой карты и собственной дефенс экспертизы. Эти же требования были использованы в стандарте по настройке Linux систем от ФСТЭК. 👍
Методика ФСТЭК по оценке критичности уязвимостей
Теперь официально поддерживается в MaxPatrol VM. Про вопросы к реализации я уже раньше писал, это не silver bullet пока. Но и в таком виде работать в MaxPatrol VM проще, чем считать руками или скриптовать своё. Эта функциональность реализована в виде PDQL фильтра, такие фильтры будут доступны в общей библиотеке.
Добавили интеграцию с LAPS, чтобы избегать компрометации учёток с правами админа на многих хостах.
---
Крутой запуск! Многая лета новому поколению Compliance Management-а в MaxPatrol HCC! Буду активно отслеживать эту тему. 🙂 И не только я. Валерий Ледовской из X-cofig запустил канал по CM и тоже поделился впечатлениями от запуска HCC, зацените и подпишитесь! Взгляд со стороны прямых конкурентов это всегда любопытно. И чем больше будет авторских околоVM-ных каналов, тем лучше. 😉
Про практический тренинг по MaxPatrol VM. Легенда была следующая. В некоторой супер позитивной компании развернули MaxPatrol VM, но не настраивали его. И вот наша задача была провести базовую настройку. Сначала шла демонстрация как делается операция, затем мы повторяли её на своей инсталляции самостоятельно. Непосредственно сканы не запускали, но всё остальное было вживую на весьма правдоподобных тестовых данных. Имхо, хорошо разобрали сильные стороны решения: значимость активов, статусы уязвимостей, актуальность данных. До этого я как-то не особо понимал концепцию динамических групп, политик и языка запросов PDQL. Это не самые очевидные штуки, особенно если просто смотреть скриншоты с дашбордами и видяшки. Но если немного разобраться, то инструменты очень крутые и мощные. 👍
Что мы рассмотрели:
1. Создание задач на сбор данных. 2. Группировка активов по сетевым сегментам с помощью динамических групп. 3. Создание задачи на сканирование динамической группы активов. 4. Создание PDQL запроса для фильтрации уязвимостей для динамических групп активов. 5. Изменение статуса уязвимости на "Исправляется" вручную. 6. Создание учётных записей и использование их в профиле сканирования. 7. Удаление активов из динамической группы активов. 8. Задание значимости активов через политики. 9. Задание статусов уязвимостей через политики. 10. Создание политики для контроля актуальности данных. 11. Создание отчёта для отфильтрованных уязвимостей. 12. Получение compliance результатов через запуск политики и работа с ними в PDQL запросах.
В общем, отличный практический тренинг, мне понравилось! 🙂
Сертификат о прохождении тест-драйва. Приятненько 😊. В завершение моей трансляции хочется сердечно поблагодарить организаторов. Мероприятие - ТОП. Организация очень четкая. Площадка удобная. Классно пообщались в кофе-брейках, много практических тем обсудили. Кофе-брейк в формате Q&A с микрофонами это крутая и полезная тема, можно было бы и расширить. 😉 Если ещё тест-драйвы будут (этот был второй), всячески рекомендую VM-щикам участвовать.
