Архив метки: PositiveTechnologies

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Добавить комментарий

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty

Positive Technologies проверит защищенность MaxPatrol VM и еще 8 продуктов на Standoff Bug Bounty. Выплаты до 2 миллионов рублей. Зарепортить можно полные или частичные сценарии реализации недопустимых событий. Уровень опасности (и вознаграждения) определяется по табличке возможных сценариев атаки ("Диверсия", "Взлом", "Утечка", "Злоупотребление"), класса атакующего и полноты реализации сценария. Для MaxPatrol VM выделяют следующие классы атакующих:

🔹 Класс 0. Права администратора на сканируемом узле.
🔹 Класс 1. [для VM не выделяют]
🔹 Класс 2. Полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС. на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
🔹 Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC).
🔹 Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии.

Посмотрел лонч PT Dephaze

Добавить комментарий

Посмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT DephazeПосмотрел лонч PT Dephaze

Посмотрел лонч PT Dephaze. На что делали акценты:

🔻 Безопасность работы решения для бизнес-процессов компании. За счёт настройки границ, параметров агрессивности и исключения (ручного согласования) техник.

🔻 Атаки и построение цепочек атак. В первую очередь реализуют "низко висящие фрукты": перехват и подделка трафика, извлечение и восстановление учетных данных, перечисление учетных записей, повышение привилегий и боковое перемещение.

🕹 Продукт продемонстрировали на тестовой инфраструктуре на основе GOAD с тремя доменами, в которых есть сервера и десктопы (включая Linux-десктоп в домене). Показали NTLM relay нa SMB, ESC15 (CVE-2024-49019), получение доступа к GitLab и прочее.

📋 Обещают улучшать отчёты, валидацию исправлений, аудит паролей, добавлять новые атаки, хакерские инструменты и поддержку типовых инфраструктур.

💳 Лицензируется по атакуемым активам. Есть мобильным модуль (на ноут) для изолированных сред.

➡️ Запустили пилоты 😉

Настоящий Automated Pentest

Добавить комментарий

Настоящий Automated Pentest

Настоящий Automated Pentest. 7 лет назад меня пригласили выступить на митапе в московском офисе израильского фонда PRYTEK.

Мероприятие проводили для продвижения ИБ-стартапа Cronus (сейчас уже дохлого 🤷‍♂️). Я рассказывал про недостатки VM-решений (во многом тезисы ещё актуальны). А спикеры от Cronus преподносили свой продукт как Automated Pentest. Видимо, по задумке организаторов я должен был начать этот продукт яростно нахваливать. Но я выдал такое:

"Да какой же это пентест, если вы не эксплуатируете никакие уязвимости, а только делаете выводы о возможных атаках на основе описания уязвимостей, информации об эксплоитах и сетевой связности! Это Breach and Attack Simulation обычный".

И в прочие недостатки решения тоже палочкой потыкал. 😇 Больше меня на мероприятия PRYTEK почему-то не звали. 😅

🟥 А вот настоящий автоматический пентест с реальной эксплуатацией уязвимостей - это PT Dephaze. И послезавтра в 14:00 этот продукт официально запустят.

И снова про Linux Антивирусы

Добавить комментарий

И снова про Linux Антивирусы

И снова про Linux Антивирусы. В прошлом году я размышлял, что 2024 год - хорошее время, чтобы начать делать антивирусы под Linux. Благодаря импортозамещению, потребность в быстрой базовой защите Linux-систем от малварей растёт и с точки зрения реальной безопасности, и с точки зрения выполнения регуляторных требований. Кроме того, антивирус это хороший повод "занести агент на хост", который можно использовать и для других продуктов (включая VM 😉). А компетенции традиционных игроков в разработке Windows-антивирусов на Linux так просто не переносятся. Казалось бы: вот открытая ниша для новых игроков!

Но она прикрывается. 😏 Две новости за пару дней:

🔹 Kaspersky выпустили Linux-антивирус для b2c (❗). Т.е. уже даже для домашних линуксоидов появилась коммерческая опция защиты.

🔹 Positive Technologies купили долю в производителе антивируса VBA32 и получили доступ к технологиям. PT становится полноценным антивирусным вендором. 😉

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet

Добавить комментарий

Февральский выпуск "В тренде VM": уязвимости Microsoft, Fortinet, 7-Zip и зачем VM-щику знать про DarkNet. Снова на SecLab-e. Теперь в новом оформлении и с новым монтажом. 😉

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:35 Remote Code Execution - Windows Lightweight Directory Access Protocol (LDAP) (CVE-2024-49112)
🔻 01:47 Remote Code Execution - Microsoft Configuration Manager (CVE-2024-43468)
🔻 02:50 Remote Code Execution - Windows OLE (CVE-2025-21298)
🔻 04:05 Elevation of Privilege - Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
🔻 05:13 Authentication Bypass – FortiOS/FortiProxy (CVE-2024-55591)
🔻 06:26 Remote Code Execution - 7-Zip (CVE-2025-0411)
🔻 07:40 VM-щики и даркнет
🔻 08:58 Про дайджест трендовых уязвимостей

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Добавить комментарий

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно

Зачастую и полностью обновленная система может быть уязвимой из-за того, что она была сконфигурирована неправильно и небезопасно. А что мешает конфигурировать безопасно? 🙂 Имхо, основная причина это отсутствие единого реестра, в котором были бы низкоуровневые рекомендации по настройке различных систем, обоснование от каких атак они защищают и что может отъехать от их применения. 🤔

Для уязвимостей, связанных с ошибками в ПО, эту роль худо-бедно выполняет CVE. У NIST и MITRE была аналогичная штука для безопасных конфигураций - CCE. И аналог CVSS - CCSS. Но они давно заброшены. 🤷‍♂️

Конечно, для многих систем есть Hardening Guides, которые перерабатываются в стандарты, такие как CIS Benchmarks. Есть стандарты американских военных DISA STIGS и SCAP-контент от OpenSCAP. Но всё это фрагментировано и с нестабильным качеством.

➡️ Завтра в 14:00 пройдёт вебинар Positive Technologies, про то, зачем нужен харденинг и как делать его проще с MaxPatrol HCC. 😉

Нужно ли учитывать данные из даркнета при приоритизации устранения уязвимостей?

Добавить комментарий

Нужно ли учитывать данные из даркнета при приоритизации устранения уязвимостей?

Нужно ли учитывать данные из даркнета при приоритизации устранения уязвимостей? Конечно. Если видите объявление о продаже эксплоита для уязвимости или рекламу, что какая-то малварь эксплуатирует новую уязвимость, то грех не поднять этой уязвимости приоритет. Лучше ошибиться и устранить неэксплуатабельное, чем дождаться атак в собственной инфре.

Но нужно ли устранять только то, что засветилось в даркнете? Разумеется нет. Хотя бы потому, что даркнет велик и наиболее ценная инфа может долго не выходить за пределы закрытых форумов и площадок. А доступ туда либо просто платный (вопрос +- решаемый для компании, занимающейся разведкой), либо ещё требует определенной репутации в киберпреступном сообществе. 🦹‍♂️ Поэтому то, что выходит в паблик - лишь малая часть того, что есть на самом деле. Это как в замочную скважину подсматривать. Видно, но не всё. 😉

Поэтому анализ даркнета не снимает необходимости устранять ВСЕ уязвимости в соответствии с разумными приоритетами.