Архив метки: Metascan

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

1 комментарий

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра

Поучаствовал в вебинаре с Давидом Ордяном, CEO Metascan, про безопасность периметра. Вебинар проходил в рамках курса Inseca по VM, который я сейчас активно прохожу (3 недели уже прошло, осталось ещё 3). 🙂 Выписал тезисы по вебинару.

Цель в том, чтобы прийти к идеальному состоянию периметра:

🔹 Периодичность проверки каждого хоста на внешнем периметре составляет 24 часов.
🔹 На периметре отсутствуют уязвимости критичностью выше X.
🔹 Назначение каждого порта на внешнем периметре известно ИБ, понятно с какими активами во внутрянке он связан и кто за них отвечает.

Чтобы этого достичь нужны ресурсы, а значит нужно начать с продажи идеи ИБ руководству компании. Как это сделать?

🔻 Нужны союзники со стороны сетевиков и админов. Хорошо помогает сбор рабочей группы с ними.
🔻 Контроль периметра со стороны ИБ должен быть регулярным процессом организации с планерками, реагированием на аномалии и т.д.
🔻 Нужно научиться говорить на бизнес-языке. Идеально продемонстрировать возможность совершения недопустимого события. Но даже XSS-ки с потенциальным имиджевым риском может быть достаточно.

На что обратить внимание:

🔸 ИБ должно участвовать в управлении DNS и публикации сервисов.
🔸 Должен быть реестр сетевых портов. Отдельно выделяем сервисы, которых не должно быть на периметре в принципе (telnet, ssh, rpc, sql и т.д.), и сервисы, которые не были нормально продетектированы - нужно дорабатывать детекты.
🔸 Брутилки, как правило, заточены под конкретные протоколы - разбирайтесь с утилитами (или берите коммерческие сервисы-комбайны). В Метаскане, например, 28 инструментов.
🔸 Вендор настолько хорош, насколько хорош его RnD. Пусть покажет, что умеет писать детект. Готовые движки не пойдут: "в Nessus никогда не будет Битрикса". И что вы будете с этим делать?
🔸 Ошибочная выкладка файлов на периметре (папка с логами, дампами, скрипт с захардкоженными паролями и т.п.), чем вы это будете ловить? Это не CVE.
🔸 Случайно опубликованную админку сканер не найдет, нужны специальные инструменты.
🔸 Сканеры web-приложений должны поддерживать web2.0. В современных приложениях client-side rendering. Должен использоваться виртуальный браузер.

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

2 комментария

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию EternalBlue, сканирование инфры с помощью Nessus Essentials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metascan, экспорт данных из Vulners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Management (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом - приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для VirtualBox c Nessus Essentials и Windows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vulnerability Management-а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nessus Essentials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Tenable и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metascan и Vulners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM-у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vulnerability Management-у хороших и разных!

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров

2 комментария

Картинка Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)" в рамках проекта карты российских около-VM-ных вендоров.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю.

Непосредственно тестил Metascan и СКАНФЭКТОРИ. Решения идеологически разные, но вполне рабочие и команды очень адекватные. 👍

Предыдущая картинка по СДУИ.

Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

1 комментарий

Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)

Позволяют детектировать известные уязвимости CVE/БДУ, мисконфигурации и (частично) неизвестные уязвимости (например XSS в самописном веб-приложении) для активов, которые публично доступны из Интернет. Для сбора информации об активах используется активное сетевое сканирование. Сканирование производится с внешней площадки вендора, что обеспечивает взгляд на анализируемую инфраструктуру как у атакующего.

Metascan. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. Позволяет детектировать уязвимости для оборудования, системных сервисов и веб-приложений. Для детектирования уязвимостей использует свой веб-краулер, модули собственной разработки и на основе свободного ПО. Позволяет проводить проверку TCP/UDP портов на соответствие белому списку. Сервис также включает экспертное сопровождение: анализ обнаруженных уязвимостей, демонстрацию PoC и команд для эксплуатации, участие в совместных планерках по состоянию сетевого периметра.

СКАНФЭКТОРИ. Специализированный облачный сервис для детектирования уязвимостей инфраструктуры доступной из Интернет. В рамках одной платформы предоставляет доступ к 16 сканерам безопасности системных сервисов и веб-приложений. В качестве дополнительной услуги возможна верификации результатов детектирования экспертами.

Group-IB - Attack Surface Management. Решение для контроля внешней поверхностью атаки. Включает возможности по инвентаризации IT-активов и детектированию уязвимостей связанных с ними. Позволяет выявлять теневые IT-активы, неизвестные в организации. С помощью решения также возможно контролировать утечки учетных записей и данных в Dark web.

BI ZONE - CPT (Continuous Penetration Testing). Решение для постоянного контроля защищенности внешнего IT-периметра организации. Сочетает автоматизированное сканирование на наличие уязвимостей и ручную верификацию найденных уязвимостей экспертами. Эксперты также сопровождают подтвержденные уязвимости рекомендациями по устранению.

МТС RED - Сicada 8. Платформа для централизованного управления уязвимостями внешнего периметра с экспертным сопровождением и возможностью отслеживания киберугроз в реальном времени.

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году

1 комментарий

Весной-летом я толкал речи на тему как Vulnerability Management поменялся в 2022 году. Пришла зима, скоро уже новый год, есть повод порефлексировать и скорректировать видение.

Что сканировать?

1) Оценка "стабильности" IT-вендоров похоже оказалась не особо востребованной и в итоге свелась к переходу на отечественное. Тут и позиция регуляторов направляет, и нежелание зарубежных вендоров подставляться лишний раз под вторичные санкции. Пока выглядит так, что новые IT и ИБ решения будут в основном российские (пусть даже они будут функционально хуже).
2) С другой стороны массового выпиливания продуктов Microsoft пока не наблюдается. MS пока не нагнетают. Позиция регуляторов достаточно умеренная и сводится к требованию контроля обновлений. Видима зависимость настолько велика, что требовать чего-то другого не реалистично.
3) Массового отказа от мейнстримных Linux дистрибутивов тоже не наблюдается. Пока не было громких кейсов с активным участием западных вендоров Linux дистрибутивов. Миграция c Ubuntu/Debian/CentOS Stream/Alma/Rocky на российские дистрибы связана с техническими сложностями и значительными финансовыми затратами. В целом, в ширнармассах пока не ощущается понимание зачем это нужно (за исключением случаев когда это прямое указание регулятора).

Чем сканировать?

Какого-то значимого изменения ландшафта на рынке VM-решений пока не видится.
1) Кто-то продолжает использовать западные решения с помощью разного рода ухищрений.
2) Кто-то активнее переходит на продукты традиционных отечественных VM вендоров (Positive Technologies, Алтэкс-Софт, Эшелон, Газинформсервис).
3) Есть некоторая активность от нового игрока Vulns.io.
4) Есть развитие у периметровых сервисов Metascan и ScanFactory.
5) Интересно развитие VM как доп. функциональности у Kaspersky: если все равно антивирус заменять, удобно получить в результате и агент детектирующий уязвимости. Win-win в духе Microsoft Defender for Endpoint. Выглядит как перспективная тема для агентного сканирования.
6) Достаточно много больших российских компаний приняли решение пилить свои VM решения, т.к. доступные коммерческие дороги и/или чем-то не устраивают. Есть вероятность появления таких решений на рынке.