Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.
Насколько можно верить данным Shadowserver по количеству уязвимых хостов в России? Алексей Лукацкий подсветил мой пост про Remote Code Execution — Palo Alto PAN-OS (CVE-2024–3400), за что ему большое спасибо, и выложил актуальную статистику Shadowserver по данной уязвимости. Хороший повод порассуждать насколько вообще этой статистике можно верить.
🔹 Эта статистика — результат детектирования уязвимости без аутентификации. Это может быть детект по версии из баннера сервиса (низкая достоверность) или детект с попыткой эксплуатации уязвимости (высокая достоверность). Но это когда мы знаем, что нужный нам сервис есть на таком-то порту такого-то сетевого хоста. А если не знаем, то нам нужно будет это выяснить путём сканирования портов и фингерпринтинга сервисов. Это весьма и весьма заметная активность, которую понятно как выявлять и блокировать, в том числе автоматически.
🔹 Даже если вы сами развернёте внешний сканер (хотя бы nmap) и начнёте сканировать сетевой периметр собственной организации, то вполне вероятно, что ваш сканер очень быстро заблокируют корпоративные решения защиты от сканирования и DoS-атак. Это может выглядеть таким образом, что произвольные порты на хостах будут показываться как открытые или как закрытые. И это будет меняться от скана к скану. Пользоваться такими недостоверными данными будет невозможно и нужно будет идти в IT, чтобы IP-адрес сканера добавили в белые списки во всех системах, которые могут препятствовать активному сканированию.
🔹 В случае, если вы сами проводите сканирование сетевого периметра вашей организации, у вас, скорее всего, будет мотивация и возможности разбираться со всеми проблемами в детектировании, чтобы получить самые достоверные результаты. А что в случае, если это делает организация, которая без спроса сканирует "весь Интернет"? Ну блокируются её сканы в какой-то компании, ну и ладно. Не будут же они упрашивать каждую компанию не блокировать сканы. 😅
🔹 И, наконец, самое главное. Откуда идут сканы? Shadowserver это британская организация. Сложно сказать, откуда именно они сканируют, скорее всего их сканеры как-то разнесены. Но у меня есть большие сомнения, что они сканируют Рунет сканерами, которые расположены на хостах с российскими IP-адресами. А если они пытаются сканить Рунет из Великобритании, то вполне вероятно они частенько упираются в блокировку любых сетевых запросов из UK, реализованную "на всякий случай". В условиях геополитической напряжённости блокировки доступов по странам и целым регионам стали обычным делом. Эту практику сложно даже как-то осуждать. Если ваш бизнес никак не завязан на UK, то сетевые запросы из UK будут для вас в лучшем случае бесполезными, а в худшем опасными. Особенно, когда дело касается всякого рода сканирований.
🔹 Ханипоты. Сервис может детектироваться по баннеру как уязвимый и даже вести себя как уязвимый, но при этом иметь целью лишь сознательное привлечение злоумышленников, чтобы засветить их методы атак и индикаторы компрометации.
➡️ Итого, когда Shadowserver пишут, что для России детектируется 44 уязвимых хоста, это очень примерное значение. Необходимо делать поправку на неизбежные многочисленные false positive и false negative ошибки. Имхо, более-менее достоверное сканирование Рунета будет возможно только с использованием аналогичного отечественного сервиса. Очень ждём его появление. 🙂 Ну и, желательно, чтобы у такого сервиса была ещё административная дубина, гарантирующая, что его сканеры не будут блокироваться, а организации сами будут рассказывать, какие сервисы у них опубликованы.
Что делать со "слепыми пятнами" в базах знаний Vulnerability Management решений? 🤔 В прошлый раз показали, что VM решения могут детектировать не все уязвимости. Это данность. Что можно предложить VM-вендорам, чтобы эта ситуация начала меняться к лучшему.
1. Чтобы бороться, с проблемой нужно для начала её измерить. А для этого нужно понимать для каких продуктов VM-решение может детектировать уязвимости. Rapid7 поддерживает такой список. А как насчёт других VM-вендоров? Также было бы неплохо, чтобы во время аудита VM-решение подсвечивало продукты, которые были обнаружены, но детектов уязвимостей для них нет. Если это будет наглядно видно, клиент сможет выбирать как реагировать: пушить VM-вендора, чтобы добавляли поддержку; подобрать дополнительный специализированный сканер уязвимостей; отказаться от использования продуктов, для которых не работают детекты уязвимостей; принять риски.
2. Не можете детектировать сами, но хотите быть единственным решением для Vulnerability Management в организации? Тогда будьте любезны дать возможность заводить уязвимости в вашем решении, продетектированные, например, другим специализированным сканером уязвимостей. Технически это означает необходимость добавить возможность заводить уязвимости и редактировать списки активов, где они детектируются, через API.
3. Неплохо бы дать возможность пользователям управлять скриптами для кастомных детектов непосредственно внутри VM-решения. В какой-то степени это уже реализуется в некоторых VM-решениях через возможность добавления собственных детектов на специализированных языках (OVAL, NASL, Nmap scripting language). Но добавлять детекты с помощью более привычных, мощных и универсальных инструментов (Bash, Python) было бы гораздо предпочтительнее. Одну такую реализацию рассмотрим в следующий раз.
Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 3. На чем можно срезать углы?
Подводные камни подсветили, специализаций коснулись. В этой завершающей части посмотрим как можно быстро слепить VM-решение из того, что есть в паблике:
1. Весьма соблазнительно взять опенсурсный сканер и, несколько доработав его, начать продавать как коммерческий продукт или сервис. Например, взять OpenVAS/GVM, Nuclei, Nmap. Однако следует понимать, что вместе с наработками придется брать в нагрузку и немалое легаси. И возможно реализовать какую-то конкретную функциональность с нуля было бы проще, чем поддерживать форк проекта с историей. Кроме того за успешным опенсурсным сканером, как правило, стоит коммерческая компания, которая этот проект уже монетизирует и конкурентам не рада. Стоит ожидать, что вам будут вставлять палки в колеса, например через хитрое лицензирование (Nmap) или ограничение бесплатного публичного фида с детектами (OpenVAS/GVM). И тут уж как впишитесь.
2. Часто для того, чтобы по-быстрому добавить детектирование уязвимостей реализуют такую схему: детектирование CPE идентификатора установленного софта и поиск уязвимостей в базе NVD. Просто, быстро, универсально. Но далеко не всегда достоверно, т.к. ошибки могут быть и при детектировании CPE, и описании уязвимой конфигурации в NVD. Да и не всё всегда определяется версиями софта, свою роль могут играть патчи и их перекрытия. Продемонстрировать как такая схема работает можно на примере Nmap + Vulners plugin. Nmap тут отвечает за детект CPE, а Vulners за поиск по NVD.
3. Отдельная большая тема это SCAP/OVAL. Если кратко, то это набор открытых спецификаций для описания уязвимостей/мисконфигураций и того как их по этому описанию детектировать. Есть много бесплатного публичного контента: репозиторий CIS, DISA STIGs, профили PCI DSS от OpenSCAP, Windows уязвимости в коненте от ФСТЭК/АЛТЭКС-СОФТ, вендорский контент для Ubuntu, Debian, RHEL. Есть как минимум один опенсурсный SCAP/OVAL сканер, который все ещё развивается, это OpenSCAP от RedHat. Есть старые заброшенные проекты ovaldi и jovaldi. C открытыми SCAP/OVAL сканерами под Windows все традиционно тяжко, OpenSCAP в этом направлении шел, но не так давно под Windows его перестали поддерживать. Следует отметить, что продвигается эта тема в первую очередь американцами для контроля безопасности их государственной инфры (для военных и федеральных агентств в основном). Чуть менее чем все вакансии по SCAP/OVAL открываются в США и требуют американское гражданство и clearance, что намекает. 😉 Также они навязывают VM-вендорам поддерживать SCAP/OVAL, что те и делают, кто-то более формально, кто-то менее. В общем, есть соблазн в это дело крепко влезть, чтобы реюзнуть наработки. И есть как минимум одна success story у кого это получилось — RedCheck от АЛТЭКС-СОФТ. Также можно привести в пример индийскую компанию Secpod. Из минусов — спецификации там не особо простые и удобные, делать всё строго по ним достаточно тяжко, особенно реализовывать нестандартные проверки для нестандартных систем.
На этом мини-цикл про разработку VM я заканчиваю, но тему сканероделания конечно не оставляю. Дальше как раз планирую в очередной раз погружаться в SCAP/OVAL, следующий плановый эпизод будет про детектирование уязвимостей с помощью OpenSCAP.