PatchManagement | Александр В. Леонов

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым. Выписал тезисы.

1. Об управлении уязвимостями должно болеть у SOCоводов, т.к. активность закрепившегося злоумышленника будет выглядеть как более-менее легитимная активность пользователя и они её не поймают.
2. Людям склонно заниматься тем, что проще. Внедрять антивирусы гораздо проще, чем VM процесс.
3. VM не панацея. Нужен контроль конфигураций и действий внутреннего напушителя, нужно реагирование, нужна экосистема.
4. SIEM для VMа позволяет актуализировать инфу об активах, VM для SIEMа позволяет подсветить активы с высокой вероятностью эксплуатации (где нужно обмазать детектами).
5. Связка VM с EDR позволяет использовать EDR в качестве агента для инвентаризации и response (погасить хост, собрать инфу на доп. расследование)
6. В VM нужно интегрировать и апсечные уязвимости, и куберовые.
7. Можно такие интеграции замутить не в экосистеме одного вендора, а из разных решений через APIшки? Можно, но сложно. Из опенсурса ещё сложнее.
8. Куда дальше? Виртуальный патчинг, автоматический патчинг, детект любых уязвимостей и везде, анализ MLем.
9. Много фидов это хорошо, т.к. они друг друга дополняют, но должна быть Threat Intelligence платформа, чтобы эффективно с ними работать.
10. Вершина эволюции VMа - автопилот. Автоматизированный Patch Management, сквозной virtual patching, построение цепочки атак и отслеживание действий злоумышленника. Реализуется в метапродуктах PT.

И снова про нестабильных зарубежных IT/ИБ вендоров и обновления, которые могут содержать закладки.

Очень интересный конкурс на госзакупках от ФСТЭК. "Информационная инфраструктура, обеспечивающая проведение тестирования обновлений безопасности программного обеспечения, страной происхождения которого являются недружественные государства, и программного обеспечения с открытым кодом (далее — зарубежные разработчики), а также предоставление доступа государственным органам (организациям) и субъектам критической информационной инфраструктуры (далее — органы (организации)) к результатам тестирования."

Полистал ТЗ. Вроде круто и как раз в том направлении, как и хотелось. Тесты патчей от регулятора. 👍

1. Если все будет удачно, то к концу года у ФСТЭК будут первые результаты тестирования обновлений для наиболее популярных софтов, который в гос-ах используются (перечень тоже в рамках задачи нужно будет определить). А процесс будет постепенно совершенствоваться ещё 3 года.
2. Интересно, что будет разработана не только "методика проведения работ по тестированию обновлений программного обеспечения" (что логично), а также будет "разработана методология определения критичности уязвимостей программного обеспечения, для устранения которых требуется установка обновлений безопасности и проведения работ по их тестированию". 🧐Насколько я понял это затем нужно, что тестировать будут не все патчи, а только для критичных уязвимостей и только их будут рекомендовать к установке. Возможно будет что-то напоминающее рекомендательный алгоритм НКЦКИ, но это не точно.
3. Прикольно, что ещё сделают руководство по Patch Management-у для организаций. Требуют "разработку руководства по управлению обновлениями программного обеспечения в органе (организациями), в том числе включающего дифференциацию обновлений, описание процессов получения обновлений, тестирования обновлений, установку обновлений, оценку и совершенствование процесса управления обновлениями." Давно топлю за то, чтобы было больше детальных руководств по Patch & Vulnerability Management, а тут ещё и от регулятора. 🔥

Каких-то технических требований как именно должны тестировать обновления я в документе не нашел, что довольно тревожно. Но будем надеяться, на этапе приемки "методики проведения работ по тестированию обновлений программного обеспечения" к этому подойдут серьезно и ответственно. 🙂

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: PatchManagement

Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым

И снова про нестабильных зарубежных IT/ИБ вендоров и обновления, которые могут содержать закладки