Перезалил "В Тренде VM" за 5 месяцев. Я тут затих в последние дни, потому что всё свободное время на это уходило. Вырезать, подправлять, размечать, оформлять и описывать ролики было довольно муторно, но результатом я доволен. 🙂
Теперь "В Тренде VM" это не только рубрика внутри новостных выпусков SecLab-а, но и отдельные ролики на моём канале с таймкодами по конкретным уязвимостям и описаниями. 😊 Т.е. теперь для каждой трендовой уязвимости, начиная с февраля, есть краткое видео-обоснование почему мы считаем её трендовой. Надеюсь, что и индексироваться это будет неплохо.
По договоренности новые ролики буду добавлять через неделю после выхода рубрики "В Тренде VM" в видео-новостях SecLab-а.
В моменте выкладываю только в плейлист моего канала на YouTube. Иронично, что руки дошли этим заняться аккурат к завершению работы платформы в России. 🙂
Upd. Залил ролики в плейлисты "В Тренде VM" на российские площадки: 🔹 RuTube 🔹 VK Видео
Думаю, онпрем продукт PT Application Firewall (PT AF) многим хорошо знаком, а вот его облачный вариант, представленный в прошлом году, всё ещё новинка. Он предназначен для защиты cloud‑native инфраструктуры и доступен по подписке через авторизованных сервисных и облачных провайдеров (отсюда и K2 Cloud).
Функциональность:
🔻 Выявление цепочек атак 🔻 Защита от DoS-атак уровня приложений 🔻 Механизмы противодействия вредоносным ботам 🔻 Модуль для защиты от атак на пользователей 🔻 Модуль предотвращения загрузки вредоносного ПО 🔻 Блокирование 0day атак 🔻 Защита API 🔻 Виртуальный патчинг
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
🔻 Remote Code Execution - Microsoft Exchange "ProxyNotShell" (CVE-2022-41040, CVE-2022-41080, CVE-2022-41082) 🔻 Remote Code Execution - Bitrix Site Manager "PollsVotes" (CVE-2022-27228) 🔻 Elevation of Privilege - Polkit "PwnKit" (CVE-2021-4034)
Дальше в рифмованном виде. 😉 Трек сгенерировал в Suno.
---
По пентестам за прошедший год отчёт Вышел у Позитивов. Каждый кто его прочтёт, Увидит, что там всё красиво. 28 проектов, есть что показать. Статистика и результаты. Умеют защищать и умеют ломать - Молодцы ребята! (Молодцы ребята!)
К отчёту они подошли всерьёз. Ознакомьтесь без спешки! Но у меня всегда один вопрос: Где там CVE-шки? (Где там CVE-шки?)
По отчёту уязвимости не сложно сосчитать. Их совсем немного. Их конкретно пять.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Самый популярный почтовый сервак MS Exchange - лакомая цель любых атак. 3 уязвимости ProxyNotShell - по сути одна Remote Code Execution. Опасность наглядно видна.
Bitrix Site Manager - популярная в России CMS. И к тому же отечественная. Импортозамeс! RCE в модуле "Опросы, голосования" - Причина массовых дефейсов и для атак на инфру основание.
Ну а если злоумышленник На Linux хост проник И там спокойно сидит, Нет надёжнее стратегии, Чем поднять до root-a привилегии Через уязвимость Polkit, PwnKit.
Топ пять критичных уязвимостей. Эксплуатируют их чаще всего в ходе пентестов. Ужас пробирает до костей, Когда видишь их в инфре: им не должно быть места! Давно известны они все, И что опасны они никто не возразит: PollsVotes в Битриксе, ProxyNotShell в Эксчендже, А на Linux-ах PwnKit.
Это были результаты за 2023 год. Что за тренды нам текущий год принесёт? Кто подаст надёжный патчиться сигнал? Подпишись на @avleonovrus "Управление Уязвимостями и прочее", Telegram канал.
Коллеги из команды MaxPatrol SIEM-а запилили офигенные скетчи про самопальный SIEM в организациях. 😁 Отсылка к культовой передаче из 90х очевидна. Мне ещё напомнило ролики "I'm a Mac I'm a PC".
Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2.Продолжаю делиться заметками.
Q&A сессия
🔹 Все стандарты CIS переносить не планируется. Будут курсы по продукту, чтобы можно было реализовать их самостоятельно в HCC. 🔹 Вся инфра в облаке? Ставьте MPVM в облако. 🔹 MaxPatrol VM Light будет - следите за обновлениями. 😉 🔹 Первое на что стоит смотрить при устранении уязвимостей - трендовые уязвимости 🔹 PT BlackBox отличается целевой аудиторией. У PT BlackBox целевая аудитория AppSec, а у MPVM - инфраструктурные VM-щики. 🔹 Лицензия на сканирования тратится, когда рассчитывается уязвимость для хоста. 🔹 Новый интенсив по MaxPatrol VM стартует в сентябре. 🔹 Сканировать web-таргеты правильнее по fqdn. 🔹 Настройка цепочек задач? В бэклоге. 🔹 Анализ мобильных устройств? Пока такого запроса нет, т.к. сложно патчить устройства. 🔹 Постановка задач IT? Пока интеграция с тикетницами через API, но следите за новостями. 😉 🔹 А если Nuclei не подтвердил? Будет просто показывать, что для уязвимости есть эксплоит. 🔹 Когда будет доступна новая версия? Можно завтра с утра, но рекомендуем ставить с понедельника. 🔹 Когда будет поддержка ИнфоТеКС? Есть в роадмапе. Есть сложности с получением рута. Вообще про российские решения: об уязвимостях нужно как-то узнать - вендоры должны где-то уязвимости публиковать (ИнфоТеКС тут молодцы) 🔹 Редактор кастомных требований в самом VM будет. 🔹 Тёмная тема будет с переездом на новый Angular. 🔹 Функционал очистки? В работе. Процессинг - зарелижен, Scans - в работе, TRM - для части есть.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
