Архив метки: PositiveTechnologies

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558

В понедельник на сайте Pos­i­tive Tech­nolo­gies вышла большая статья про SteganoAmor — операцию по обнаружению атак группировки TA558. Несмотря на многообразие инструментов и методов атак, которые использовала группировка, в статье упоминается только одна CVE уязвимость. Это старая RCE в Microsoft Office (CVE-2017–11882), которая используется для запуска макросов в RTF-документах. Несмотря на возраст, уязвимость регулярно всплывает в описаниях актуальных атак.

Отсюда вывод для VM-процесса. Не так важно, что какая-то команда обновляется раз в 2 месяца, а не каждый месяц. Важно выделить хосты и софты, которые принципиально не обновляются и не будут обновляться и бороться прежде всего с ними.

Одновременно курьёзный и печальный факт. Уязвимость была обнаружена исследователем из Embe­di. К сожалению, компания не пережила американские санкции и на их сайте, где было выложено оригинальное исследование, теперь онлайн-казино. 🎰🤷‍♂️

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды Max­Pa­trol VM Pos­i­tive Tech­nolo­gies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы. Активность просто огненная. 🔥

Задания хакатона:

🔻 Стендирование. Написать плейбук для развертывания ПО с помощью Ansi­ble.
🔻 Обнаружение ПО. Написать скрипт для обнаружения ПО на хосте на языке Python. Цель скрипта сгенерировать OVAL Vari­ables с информацией по софту.
🔻 Обнаружение уязвимостей. Распарсить источник данных об уязвимостях и сформировать OVAL Def­i­n­i­tions. Затем провести детектирование уязвимостей используя OVAL Def­i­n­i­tions и артефакт работы скрипта обнаружения ПО (OVAL Vari­ables) с помощью утилиты Open­SCAP.

Таким образом участники хакатона пройдут весь путь поддержки продукта в сканере уязвимостей с использованием нейтрального опенсурсного стека:

Ansi­ble + Python + OVAL/OpenSCAP

При этом использование Python для сборки OVAL Vari­ables позволит снять ограничения связанные с OVAL объектами (мороки с их сбором — атас, а Open­SCAP под Win­dows вообще dic­scon­tin­ued) и при этом получить все преимущества OVAL — формализованное описание правил детектирования уязвимостей и готовые инстурумент для расчёта статусов в виде Open­SCAP.
Б — Баланс. 👍

💳 За выполнение заданий участники будут получать баллы, которые будут конвертированы в деньги.

🚀 Результаты работы участников не пропадут, а будут использованы в Max­Pa­trol VM (после ревью и через конвертацию в пакеты Max­Pa­trol VM).

Для участников сплошной Win:

🔸 Получаем реальную практику с востребованными технологиями (Ansi­ble и Python вообще must have в IT, а OVAL/SCAP кучей VM-продуктов используется и в России, и зарубежом).
🔸 Получаем отличную строчку в резюме (рассказывать на собесе как детекты писал, которые в Max­Pa­trol VM сейчас используется — круто же 🙂).
🔸 Получаем приятный денежный бонус с этого.
🔸 Получаем фаст-трек для вкатывания в команду разработки Max­Pa­trol VM, если процесс понравится и будут хорошие результаты. 😉

➡️ Подробности и регистрация тут
🟥 Официальный пост в канале Pos­i­tive Tech­nolo­gies

Разобрал заметки про эфир AM Live по Vulnerability Management‑у

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vul­ner­a­bil­i­ty Management‑у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM‑у в России. 🔥

Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:

🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷‍♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".

В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:

🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM‑а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я‑то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vul­ner­a­bil­i­ty Management‑а это Asset Man­age­ment. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM‑а за последние 2 года стало проще из-за публичных инцидентов.

Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили — жаль. 😔

Ответы вендоров про отличия от конкурентов:

🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 Solid­Lab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с reme­di­a­tion-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Lin­ux.
🔸 Secu­ri­ty Vision. "Настроенный SOAR в виде VM".
🔸 R‑Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5–20 секунд на хост. Своя тикетница.
🔸 Spacebit/X‑Config. Com­pli­ance Man­age­ment. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Pos­i­tive Technologies/MaxPatrol VM. Asset Man­age­ment, перерасчет уязвимостей без пересканирования, Com­pli­ance Man­age­ment. Подробности о новых фичах будут на PHDays. 😉

Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatch­ing), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.

Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂

Традиционный эфир на AM Live по Vulnerability Management‑у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданноТрадиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vul­ner­a­bil­i­ty Management‑у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅

Довольно сильно изменился состав участников.

В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»

Появились новые представители от:
🔹 Solid­Lab VMS
🔹 ГК «Солар»
🔹 Secu­ri­ty Vision

И остались представители от:
🔹 Pos­i­tive Tech­nolo­gies
🔹 R‑Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit

Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.

Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта

Вышел выпуск новостей SecLab‑а с моей рубрикой по трендовым уязвимостям марта. 🙂 Пятиминутная рубрика "В тренде VM" начинается с 16:43. 🎞

По сравнению с прошлым месяцем, в рубрике чуть поменьше мемчиков и шутеек, чуть побольше фактологии.

Основным ведущим выпуска в этот раз был Денис Батранков, Александр Антипов пока в отпуске.

Подробности по трендовым уязвимостям марта читайте в дайджесте и на Хабре.

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта

Вышла статья на Хабре про трендовые уязвимости марта. В этот раз мы решили немного поменять технологию. Раньше на хабр просто рерайтили тот же дайджест с сайта. Получалось суховато. В этот раз за основу статьи я взял текст, который готовил для новостного видео SecLab‑а (должно выйти на следующей неделе) и скомбинировал его с более формальным описанием из дайджеста. Вроде так получилось гораздо живее.

Вся кухня сейчас выглядит вот так:

1️⃣ Разбираю новости об интересных уязвимостях в этом канале, участвую в определении трендовых.
2️⃣ Компоную эти разборы в текст для видео-выпуска новостей Seclab‑а.
3️⃣ Сверяюсь с текстом дайджеста, который в основном готовят коллеги из Cyber Ana­lyt­ics.
4️⃣ Собираю итоговый текст для Хабра.

В общем, к чему это я. Если у вас есть аккаунт на хабре, зайдите полайкате плз. 😉

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям мартаНа сайте Positive Technologies вышел дайджест по трендовым уязвимостям марта

На сайте Pos­i­tive Tech­nolo­gies вышел дайджест по трендовым уязвимостям марта. Для наглядности я также сгенерил отчёт Vul­ris­tics по ним. Всего 5 уязвимостей.

🔻 По 3 уязвимостям есть эксплоиты и подтвержденные признаки эксплуатации вживую: Auth­By­passTeam­C­i­ty (CVE-2024–27198), RCEFor­ti­Clien­tEMS (CVE-2023–48788), EoPWin­dows Ker­nel (CVE-2024–21338).

🔻 Ещё по 2 уязвимостям признаков эксплуатации вживую пока нет, но есть эксплоиты: EoPWin­dows CLFS Dri­ver (CVE-2023–36424), RCEMicrosoft Out­look (CVE-2024–21378).

Будет ещё видео-версия с мемасиками в новостном выпуске секлаба. Снимали в конце марта, ждём на следующей неделе. И будет ещё пост на хабре по контенту из этой видяшки. 😇

🟥 Пост в канале PT