Сертификат о прохождении тест-драйва. Приятненько 😊. В завершение моей трансляции хочется сердечно поблагодарить организаторов. Мероприятие - ТОП. Организация очень четкая. Площадка удобная. Классно пообщались в кофе-брейках, много практических тем обсудили. Кофе-брейк в формате Q&A с микрофонами это крутая и полезная тема, можно было бы и расширить. 😉 Если ещё тест-драйвы будут (этот был второй), всячески рекомендую VM-щикам участвовать.
Отдельная презентация по VM-процессу - прям огонь. 🔥 Выглядит как хорошая заявка на полноценную методику по Управлению Уязвимостями от Positive Technologies. По большей части было не про возможности MPVM, а про организацию процесса. Если этот контент будет в паблике, хотя бы сокращённом виде, будет очень круто. 🙏
Понравилась мысль, что цель VM-процесса - максимально усложнить жизнь злоумышленникам. Чтобы метасплоит или другое автоматическое средство не сработало, злоумышленник начал шуметь и SOC его обнаружил.
Планы по MaxPatrol VM на 2023 и 2024. HCC - это compliance management, контроль конфигураций. Ставят целью полностью заменить MP8. На 2024 мне кажется наиболее интересным "гибкая система сканирования расширяемая пользователем" и "автоматизация патч-менеджмента". 😇 Ждём деталей.
Взгляд на VM-процесс со стороны Positive Technologies. Та же методика, которая раньше публиковалась. Задачка в 2DO - попробовать смапить это на руководство ФСТЭК. 😉
Что мешает эффективно работать с уязвимостями? Хороший набор болей, всё так. 🙂
- Полнота охвата
- Уязвимостей слишком много
- Нужно договариваться с IT
Сегодня на тест-драйве MaxPatrol VM. Заявлена насыщенная программа на весь день. Будет как подробный обзор продукта, так и несколько часов практических занятий. В предвкушении. 🤩 В зале 30 столов на двоих, на момент публикации где-то на процентов 90 заполнилось. Знакомых из слушателей никого. А ведь это все VM-щики видимо. Надо активнее нетворкиться. 🙂
Разбираю ответы на мои вопросы с эфира AM Live по Vulnerability Management-у. Часть 3/3. Поддержка методик ФСТЭК.
Про последние три вопроса распишу вместе. Каверзность их в том, что по-хорошему на них можно ответить только "да, мы поддерживаем", либо "нет, мы не поддерживаем, потому что не хотим или не можем". В любом случае для клиента польза: либо готовая автоматизация процесса так, как это требует регулятор, либо публичная обратная связь для актуализации методик.
> 5. Что вы думаете о проекте "Руководства по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)" ФСТЭК? Ваше VM-решение позволит работать по этому процессу?
Сложно комментировать поддержку документа, который на момент эфира существовал только в проекте (но сейчас уже официально опубликован). 🙂 По факту обсуждения руководства и не было. Был только ответ Сергея Уздемира из АЛТЭКС-СОФТ (1:07:37), что есть такой документ и с ним нужно ознакомиться. В своем ответе Сергей упомянул также и методику оценки критичности уязвимостей ФСТЭК. Поэтому когда последовал следующий вопрос "насколько вы в своих решениях сейчас им [методикам] соответствуете?", то представители VM-вендоров стали отвечать про методику оценки критичности, а про руководство по управлению уязвимостями больше не вспоминали. 😉 А жаль, в руководстве есть что пообсуждать.
> 3. Ваше VM-решение позволяет проводить приоритизацию уязвимостей с использованием "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК?
Ответ начиная с 1:10:05. Четыре вендора заявили о поддержке этой методики. Для Positive Technologies MaxPatrol VM я смотрел текущую реализацию, для R-Vision VM, АЛТЭКС-СОФТ RedCheck и Фродекс VulnsIO пока нет.
Основной проблемой видится то, что для приоритизации по методике ФСТЭК необходимо каким-то образом получать Temporal и Environmental метрики CVSS. Теоретически это можно как-то автоматически генерировать из дополнительной информации об уязвимостях и инфраструктуре, но на практике я пока этого не видел. Так что если вам будут рассказывать про реализацию этой методики, то задавайте вопросы про CVSS. 😉
> 4. Когда ваше VM-решение рекомендует установку апдейтов западного софта, учитывается ли при этом "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" ФСТЭК? Является ли тестирование обновлений по методике частью VM-процесса?
Напрямую этот вопрос не задавался, но темы проверки обновлений несколько раз касались. Причем в основном при обсуждении автопатчинга. В том смысле, что автопатчинг вещь может и хорошая, но необходимость проверки обновления западного ПО как в рамках алгоритма НКЦКИ, так и по методологии ФСТЭК никто не отменял (2:29:29). И там же была реплика "Но это же не наша зона ответственности, по идее это зона ответственности IT" (2:30:15). Это конечно же не так, потому что IT уж точно не смогут оценить безопасность патчей по сложному процессу.
Поэтому варианта 2: либо VM-вендор возьмет задачу анализа обновлений на себя, либо это так и останется проблемой на стороне клиента.
В 2:51:02 Владимир Михайлов из Фродекс/VulnsIO предложил идею проверки обновлений на стороне гипотетического консорциума VM-вендоров: "заказчик, перед тем как накатить патч, установить новую версию ПО, должен проверить его по рекомендациям ФСТЭК. Он маловероятно это сам сделает. Ни один из VM-вендоров это тоже самостоятельно не сделает. Но если мы объединимся под крышей того же БДУ ФСТЭК, мы теоретически сможем собирать базу проверенных обновлений". Причем более полном виде, чем это есть сейчас в БДУ. Очень хотелось бы, чтобы из этой идеи что-то получилось. 🙏