Архив метки: PositiveTechnologies

Коллеги из команды MaxPatrol SIEM‑а запилили офигенные скетчи про самопальный SIEM в организациях

Коллеги из команды MaxPatrol SIEM-а запилили офигенные скетчи про самопальный SIEM в организациях

Коллеги из команды Max­Pa­trol SIEM‑а запилили офигенные скетчи про самопальный SIEM в организациях. 😁 Отсылка к культовой передаче из 90х очевидна. Мне ещё напомнило ролики "I'm a Mac I'm a PC".

🎞 Самостоятельное построение SEIM-системы
🎞 Поддержка нового источника
🎞 Мониторинг источников
🎞 Валидация событий информационной безопасности

➡️ Онлайн-запуск Max­Pa­trol SIEM 8.2 пройдет 27 июня в 14:00, регистрируйтесь!

Надо бы по самопальному VM‑у подобные придумать. 😅
Есть идеи, что можно было бы обыграть? Пишите в комментарии.

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2

Заметки по сегодняшнему запуску Max­Pa­trol VM 2.5, часть 2. Продолжаю делиться заметками.

Q&A сессия

🔹 Все стандарты CIS переносить не планируется. Будут курсы по продукту, чтобы можно было реализовать их самостоятельно в HCC.
🔹 Вся инфра в облаке? Ставьте MPVM в облако.
🔹 Max­Pa­trol VM Light будет — следите за обновлениями. 😉
🔹 Первое на что стоит смотрить при устранении уязвимостей — трендовые уязвимости
🔹 PT Black­Box отличается целевой аудиторией. У PT Black­Box целевая аудитория AppSec, а у MPVM — инфраструктурные VM-щики.
🔹 Лицензия на сканирования тратится, когда рассчитывается уязвимость для хоста.
🔹 Новый интенсив по Max­Pa­trol VM стартует в сентябре.
🔹 Сканировать web-таргеты правильнее по fqdn.
🔹 Настройка цепочек задач? В бэклоге.
🔹 Анализ мобильных устройств? Пока такого запроса нет, т.к. сложно патчить устройства.
🔹 Постановка задач IT? Пока интеграция с тикетницами через API, но следите за новостями. 😉
🔹 А если Nuclei не подтвердил? Будет просто показывать, что для уязвимости есть эксплоит.
🔹 Когда будет доступна новая версия? Можно завтра с утра, но рекомендуем ставить с понедельника.
🔹 Когда будет поддержка ИнфоТеКС? Есть в роадмапе. Есть сложности с получением рута. Вообще про российские решения: об уязвимостях нужно как-то узнать — вендоры должны где-то уязвимости публиковать (ИнфоТеКС тут молодцы)
🔹 Редактор кастомных требований в самом VM будет.
🔹 Тёмная тема будет с переездом на новый Angu­lar.
🔹 Функционал очистки? В работе. Процессинг — зарелижен, Scans — в работе, TRM — для части есть.

Заметки по сегодняшнему запуску MaxPatrol VM 2.5

Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5Заметки по сегодняшнему запуску MaxPatrol VM 2.5

Заметки по сегодняшнему запуску Max­Pa­trol VM 2.5. Max­Pa­trol VM — cистема управления уязвимостями нового поколения, которая реализует полное построение VM-процесса: управление активами, детектирование, приоритизация и контроль устранения уязвимостей. Уже более 500 инсталляций и их число стремительно растёт. Главная цель MP VM — не допустить эксплуатацию уязвимости в инфраструктуре.

Чем этого добиваемся?

🔹 Полное покрытие периметра, ключевых и целевых систем.
🔹 Экспертиза Pos­i­tive Tech­nolo­gies + кастомизация продукта ("Нельзя покрыть все потребности всех клиентов" -> "Дать возможности клиентам самим или с помощью интеграторов разрабатывать детекты") ⬅️ Имхо, про кастомизацию это тектонический сдвиг для отечественного VM‑а.

Три главных нововведения:

1. Сканирование веб-приложений. Эксплуатация уязвимостей на периметре в ТОП 2 векторов проникновения по данным НКЦКИ. Для поиска уязвимостей веба раньше был нужен отдельный DAST-сканер (MP8, PT Black­Box), сейчас полноценное DAST-сканирование веб-приложений возможно делать прямо в MPVM. Функционально там тот же движок, что и в PT Black­Box.

🔩 Крутая фишка — интегрировали в Max­Pa­trol VM опенсурсный сканер уязвимостей Nuclei для валидации наличия уязвимостей, определенных баннерным детектом. Уязвимости, которые подтверждены нуклеем, рекомендуют исправлять в первую очередь, а остальные в плановом порядке.

Новый профиль сканирования Web Scan Opti­mal. Можно сканировать с аутентификацией.
Добавили новые системные дашборды: критически важные веб уязвимости на активах, Топ-20 уязвимых приложений.
Для веб-уязвимостей будут также работать политики, чтобы автоматически изменять их статус и отслеживать сроки исправления.
❗️При этом одного DAST-сканирования Max­Pa­trol VM недостаточно для защиты самописных веб-приложений: нужны анализаторы кода (PT AI) + Appli­ca­tion Fire­wall (PT AF) + аудиты безопасности.

2. Кастомные комплаенс-проверки в HCC ("жить по своим требованиям"). Нужны если PT что-то не поддерживает или клиенты хотят сделать более расширенные проверки (сами или силами интеграторов).
Нужно подготовить 3 файла:
Файл 1 — значение параметра по умолчанию
Файл 2 — локализация требования
Файл 3 — исходный код требования

Можно экспортнуть имеющиеся требования, подредактировать и импортнуть обратно. Стандарт с требованиями можно редактировать как YAML.

3. Сканирование Dock­er. Раньше Max­Pa­trol не мог детектировать уязвимости в докер-контейнерах на Lin­ux хостах — теперь может. Поддерживаются контейнеры на основе Ubun­tu, Debian u Alpine Lin­ux. По сути проваливаемся в контейнер и делаем те же детекты, что и на Lin­ux хосте.

⚠️ Самое главное: никаких дополнительных лицензий не нужно! Если есть VM и HCC, просто обновляем и пользуемся!

Что ещё?

🔹 Мобильный сканер. Упростили перенос данных. Можно переносить результаты сканирования (а не активы). Задачи видны как импортированные.
🔹 Задачи на сканирование можно группировать по папкам (и запускать всю папку).
🔹 Можно ограничивать доступ к задачам на сканирование.
🔹 Технологические окна. "Запрещённое время сканирования". Задача ставится на паузу, после "просыпания" снова запустится сканирование с последнего хоста (сканирование хоста запустится заново).
🔹 Проверка транспортов и учётных записей. Можно выпустить отчёт по результатам сканирования.
🔹 У ручных задач выше приоритет, чем у запущенных по расписанию.
🔹 Теперь 20 потоков сканирования для одной задачи. Это настраивается в GUI и сбрасываться при обновлении не будет.
🔹 Топология в отдельной вкладке с возможностью переименования сетей.
🔹 Анализ топологий с компонентами связности.
🔹 Новые виджеты для HCC.
🔹 Глобальные исключения хостов из сканирования.
🔹 Новые отчёты по XLSX шаблону (можно делать свои).
🔹 Пентестовые проверки могут обновляться из облака (пакетная доставка). Раньше так доставлялись только аудитные.

Во второй части будет содержание Q&A.

Upd. Продолжение

Квиз перед сегодняшним запуском MaxPatrol VM 2.5

Квиз перед сегодняшним запуском MaxPatrol VM 2.5Квиз перед сегодняшним запуском MaxPatrol VM 2.5

Квиз перед сегодняшним запуском Max­Pa­trol VM 2.5. Что-то тугодумил и срезался на последнем вопросе. Причём уверен, что вариант про "бодания с IT-шниками" более правильный и реалистичный. 😅

Вебинар по запуску Max­Pa­trol VM 2.5 начинается в 14:00, подключайтесь!

Трендовые уязвимости мая по версии Positive Technologies

Трендовые уязвимости мая по версии Pos­i­tive Tech­nolo­gies. Как обычно, в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab‑а (начинается с 17:06)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 RCE в Flu­ent Bit (CVE-2024–4323)
🔻 RCE в Con­flu­ence (CVE-2024–21683)
🔻 RCE в Win­dows MSHTML Plat­form / OLE (CVE-2024–30040)
🔻 EoP в Win­dows DWM Core Library (CVE-2024–30051)

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3)

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3)

Как СберКорус с помощью TS Solu­tion с нуля выстраивали у себя VM-процесс на Max­Pa­trol VM (часть 3). Завершаю серию постов про выступление Романа Журавлева из TS Solu­tion и Никиты Аристова из СберКоруса на конференции СФЕРА Cyber­se­cu­ri­ty. В прошлый раз было про кастомные виджеты и прокачку Max­Pa­trol VM, а сейчас будет про планы СберКоруса на будущее.

Технические планы

🔸 В идеальной картине мира хотят получать в VM уязвимости из контейнеров. Тестируют PT Con­tain­er Secu­ri­ty.
🔸 Уязвимости из VM планируют передавать в Threat Intel­li­gence. Там создастся репутационный список индикаторов компрометации, связанных с эксплуатацией уязвимостей. Этот список будет блокироваться на межсетевых экранах. Этот же список уйдёт в SOC для упрощения расследований. Уязвимости также планируют передавать в SOC (наличие некоторых уязвимостей это инцидент сам по себе и они должны мониториться 24/7 и оперативно исправляться).
🔸 Автоматизировать создание задач на ответственных в ITSM системах Jira и Nau­men.
🔸 В SGRC передавать список активов и список уязвимостей на этих активах. В процессе пилотирования. Сейчас в MPVM нет функциональности по постановке задач, поэтому нужно решать это интеграциями.
🔸Хотят получать список активов из CMDB. Если актив есть в CMDB, помечаем в VM‑е как легитимный. Если нет — разбираемся с Shad­ow IT. Также хотят обогащать активы CMDB техническими данными из VM‑а.

После прикручивания интеграций к Max­Pa­trol VM в СберКорус могут смело сказать, что "Инвестиция нашего руководства в безопасность окупается. Продукт реально работает, на него завязано много процессов, которые делают много полезного и все счастливы, все улыбаются, даже наш коммерческий директор". 🙂

Q/A: Можно ли контролировать виртуализацию облачного провайдера (компания спрашивающего пострадала от эксплуатации такой уязвимости)? Конечно нет. По договору никто туда не пустит. [ На эту тему в КиберДуршлаге с Алексеем Лукацким было хорошо ].

Очень классное выступление, побольше бы таких! 👍 🙂

Хакатон MaxPatrol VM, часть 2: Ansible playbook для установки ПО из TAR-архива

Хакатон MaxPatrol VM, часть 2: Ansible playbook для установки ПО из TAR-архива

Хакатон Max­Pa­trol VM, часть 2: Ansi­ble play­book для установки ПО из TAR-архива. Прошлая часть была про то, как я подготавливал виртуалку на Lin­ux, чтобы работать с ней с помощью Ansi­ble. По первому заданию мне нужно было поставить с помощью Ansi­ble некоторые программное обеспечение из TAR-архива (обозначим здесь как Libre Data Ana­lyt­ics). Чтобы его установить необходимо просто скачать архив с сайта и распаковать в любую директорию. Я решил делать это прямо в домашнюю директорию пользователя vmuser. 🙂

Сам play­book аналогичен тестовому, который я запускал в прошлый раз. Такая же последовательность task-ов Ansi­ble. Только в этот раз кроме тасков типа , который позволяет выполнять bash-скрипты, я использовал более специализированные.

1. — создание временной директории
2. — скачивание файла архива
3. — разархивирование архива
4. — удаление файла архива
5. — копирование из временно директории в постоянную
6. — удаление временной директории
7. — получение фактической версии ПО и запуск ПО с дефолтными параметрами (требуется по условию задания)
8. — вывод фактической версии ПО

Необходимую версию ПО и путь до директории, куда будет установлено ПО, оформил в виде переменных и .

Код плейбука:

- name: Install Libre Data Analytics from tar.gz file
hosts: all
vars:
libre_data_analytics_version: 2.13.0
libre_data_analytics_path: "/home/{{ ansible_user }}/"
tasks:
- name: Create temporary download directory
ansible.builtin.tempfile:
state: directory
prefix: libre-data-analytics-
register: download_dir

- name: Download Libre Data Analytics archive
ansible.builtin.get_url:
url: "https://artifacts.libre-data-analytics.org/releases/bundle/libre-data-analytics/{{ libre_data_analytics_version }}/libre-data-analytics-{{ libre_data_analytics_version }}-linux-x64.tar.gz"
dest: "{{ download_dir.path }}/libre-data-analytics.tar.gz"
mode: '0640'

- name: Extract Libre Data Analytics files
ansible.builtin.unarchive:
src: "{{ download_dir.path }}/libre-data-analytics.tar.gz"
dest: "{{ download_dir.path }}"
remote_src: true

- name: Remove libre_data_analytics_path
ansible.builtin.file:
path: "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"
state: absent

- name: Copy files to the libre_data_analytics_path
ansible.builtin.copy:
src: "{{ download_dir.path }}/libre-data-analytics-{{ libre_data_analytics_version }}"
dest: "{{ libre_data_analytics_path }}"
remote_src: true

- name: Remove temporary download directory
ansible.builtin.file:
path: "{{ download_dir.path }}"
state: absent

- name: Get Libre Data Analytics version
ansible.builtin.shell: cd "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"; ./bin/libre-data-analytics -V
register: installed_version

- name: Libre Data Analytics
ansible.builtin.shell: cd "{{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}"; nohup ./bin/libre-data-analytics /dev/null 2>&1 &

- name: Display Outputs
debug:
msg: "Path: {{ libre_data_analytics_path }}/libre-data-analytics-{{ libre_data_analytics_version }}, installed version from binary {{ installed_version.stdout }}"

Для сдачи я разбил плейбук на файлы и директории, как это было сделано в примере выполненного задания:

nginx_from_repo_on_ubuntu
├── playbook.yaml
└── roles
└── nginx_from_repo_on_ubuntu
├── defaults
│ └── main.yaml
└── tasks
└── main.yaml

В итоге задание у меня успешно приняли. 👍 Можно двигаться дальше. 🙂