Сегодня половину дня буду на Positive Customer Day. Лодочки и подарочный дождевик не просто так, на вторую половину здесь запланирована корпоративная регата. ⛵ Приехал сегодня рано. Судя по размеру зала и количеству бейджей на регистрации, участников ожидается прилично. 🙂 Докладываться буду в 11:45.
На Positive Hack Days я в этом году не выступал (не считая пары слов на награждении), зато буду выступать на Positive Customer Day в четверг 22 июня. Доделал слайды для доклада "Управление Уязвимостями и методики ФСТЭК: оценка критичности, анализ обновлений, процесс". 😇 Доклад будет по мотивам постов про нормативку. Также подсвечу CVSS 4.0 и ОСОКу. В части руководства по VM-процессу кратко рассмотрю 3 вопроса, которые меня больше всего волнуют:
1. Окончательность решения по статусу уязвимости и способу исправления. Здесь есть важные изменения между проектом руководства и релизом. 😉
2. Качество детекта и полнота покрытия активов.
3. Безусловный процесс регулярного патчинга.
Про практический тренинг по MaxPatrol VM. Легенда была следующая. В некоторой супер позитивной компании развернули MaxPatrol VM, но не настраивали его. И вот наша задача была провести базовую настройку. Сначала шла демонстрация как делается операция, затем мы повторяли её на своей инсталляции самостоятельно. Непосредственно сканы не запускали, но всё остальное было вживую на весьма правдоподобных тестовых данных. Имхо, хорошо разобрали сильные стороны решения: значимость активов, статусы уязвимостей, актуальность данных. До этого я как-то не особо понимал концепцию динамических групп, политик и языка запросов PDQL. Это не самые очевидные штуки, особенно если просто смотреть скриншоты с дашбордами и видяшки. Но если немного разобраться, то инструменты очень крутые и мощные. 👍
Что мы рассмотрели:
1. Создание задач на сбор данных.
2. Группировка активов по сетевым сегментам с помощью динамических групп.
3. Создание задачи на сканирование динамической группы активов.
4. Создание PDQL запроса для фильтрации уязвимостей для динамических групп активов.
5. Изменение статуса уязвимости на "Исправляется" вручную.
6. Создание учётных записей и использование их в профиле сканирования.
7. Удаление активов из динамической группы активов.
8. Задание значимости активов через политики.
9. Задание статусов уязвимостей через политики.
10. Создание политики для контроля актуальности данных.
11. Создание отчёта для отфильтрованных уязвимостей.
12. Получение compliance результатов через запуск политики и работа с ними в PDQL запросах.
В общем, отличный практический тренинг, мне понравилось! 🙂
Сертификат о прохождении тест-драйва. Приятненько 😊. В завершение моей трансляции хочется сердечно поблагодарить организаторов. Мероприятие - ТОП. Организация очень четкая. Площадка удобная. Классно пообщались в кофе-брейках, много практических тем обсудили. Кофе-брейк в формате Q&A с микрофонами это крутая и полезная тема, можно было бы и расширить. 😉 Если ещё тест-драйвы будут (этот был второй), всячески рекомендую VM-щикам участвовать.
Отдельная презентация по VM-процессу - прям огонь. 🔥 Выглядит как хорошая заявка на полноценную методику по Управлению Уязвимостями от Positive Technologies. По большей части было не про возможности MPVM, а про организацию процесса. Если этот контент будет в паблике, хотя бы сокращённом виде, будет очень круто. 🙏
Понравилась мысль, что цель VM-процесса - максимально усложнить жизнь злоумышленникам. Чтобы метасплоит или другое автоматическое средство не сработало, злоумышленник начал шуметь и SOC его обнаружил.
Планы по MaxPatrol VM на 2023 и 2024. HCC - это compliance management, контроль конфигураций. Ставят целью полностью заменить MP8. На 2024 мне кажется наиболее интересным "гибкая система сканирования расширяемая пользователем" и "автоматизация патч-менеджмента". 😇 Ждём деталей.
Взгляд на VM-процесс со стороны Positive Technologies. Та же методика, которая раньше публиковалась. Задачка в 2DO - попробовать смапить это на руководство ФСТЭК. 😉
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.