Архив метки: PositiveTechnologies

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей

Уже завтра стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies по разработке правил детектирования уязвимостей. Ограничений на участие сотрудников PT не было, так что я тоже подался и буду делиться впечатлениями в канале. 😏 Весь в предвкушении. 🤩

Имхо, подключение сообщества к разработке security content-а это как раз то, что кардинальным образом улучшит полноту и качество детектирования уязвимостей и мисконфигураций VM-продуктами. Т.е. самую их суть.

Зарелизили материалы по апрельским трендовым уязвимостям

Зарелизили материалы по апрельским трендовым уязвимостям

Зарелизили материалы по апрельским трендовым уязвимостям. Всего выделили 5 уязвимостей.

🔻 Удалённое выполнение команд в устройствах PaloAlto (CVE-2024-3400) [Горячий пятничный привет]
🔻 4 уязвимости Microsoft Windows (CVE-2022-38028, CVE-2023-35628, CVE-2024-29988, CVE-2024-26234)

🗣 Моя статья на Хабре по мотивам постов из канала
🚀 Дайджест на сайте PT (коротко и по делу)
🟥 Пост в канале PT
🎞 Рубрика "В тренде VM" в ролике SecLab-а выйдет в понедельник 🙂 Upd. Выложили.

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким

Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким. У Алексея Викторовича очень необычный взгляд на вопросы Vulnerability Management-а и мастерские формулировки. 👍🙂📝 Отметил для себя 3 темы, которые было бы интересно подробнее разобрать:

🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.

🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?

🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?

"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558

В понедельник на сайте Positive Technologies вышла большая статья про SteganoAmor - операцию по обнаружению атак группировки TA558. Несмотря на многообразие инструментов и методов атак, которые использовала группировка, в статье упоминается только одна CVE уязвимость. Это старая RCE в Microsoft Office (CVE-2017-11882), которая используется для запуска макросов в RTF-документах. Несмотря на возраст, уязвимость регулярно всплывает в описаниях актуальных атак.

Отсюда вывод для VM-процесса. Не так важно, что какая-то команда обновляется раз в 2 месяца, а не каждый месяц. Важно выделить хосты и софты, которые принципиально не обновляются и не будут обновляться и бороться прежде всего с ними.

Одновременно курьёзный и печальный факт. Уязвимость была обнаружена исследователем из Embedi. К сожалению, компания не пережила американские санкции и на их сайте, где было выложено оригинальное исследование, теперь онлайн-казино. 🎰🤷‍♂️

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы

13 мая стартует онлайн-хакатон от команды MaxPatrol VM Positive Technologies: получи реальный опыт в разработке правил детектирования уязвимостей на нейтральном опенсурсном стеке и выиграй денежные призы. Активность просто огненная. 🔥

Задания хакатона:

🔻 Стендирование. Написать плейбук для развертывания ПО с помощью Ansible.
🔻 Обнаружение ПО. Написать скрипт для обнаружения ПО на хосте на языке Python. Цель скрипта сгенерировать OVAL Variables с информацией по софту.
🔻 Обнаружение уязвимостей. Распарсить источник данных об уязвимостях и сформировать OVAL Definitions. Затем провести детектирование уязвимостей используя OVAL Definitions и артефакт работы скрипта обнаружения ПО (OVAL Variables) с помощью утилиты OpenSCAP.

Таким образом участники хакатона пройдут весь путь поддержки продукта в сканере уязвимостей с использованием нейтрального опенсурсного стека:

Ansible + Python + OVAL/OpenSCAP

При этом использование Python для сборки OVAL Variables позволит снять ограничения связанные с OVAL объектами (мороки с их сбором - атас, а OpenSCAP под Windows вообще dicscontinued) и при этом получить все преимущества OVAL - формализованное описание правил детектирования уязвимостей и готовые инстурумент для расчёта статусов в виде OpenSCAP.
Б - Баланс. 👍

💳 За выполнение заданий участники будут получать баллы, которые будут конвертированы в деньги.

🚀 Результаты работы участников не пропадут, а будут использованы в MaxPatrol VM (после ревью и через конвертацию в пакеты MaxPatrol VM).

Для участников сплошной Win:

🔸 Получаем реальную практику с востребованными технологиями (Ansible и Python вообще must have в IT, а OVAL/SCAP кучей VM-продуктов используется и в России, и зарубежом).
🔸 Получаем отличную строчку в резюме (рассказывать на собесе как детекты писал, которые в MaxPatrol VM сейчас используется - круто же 🙂).
🔸 Получаем приятный денежный бонус с этого.
🔸 Получаем фаст-трек для вкатывания в команду разработки MaxPatrol VM, если процесс понравится и будут хорошие результаты. 😉

➡️ Подробности и регистрация тут
🟥 Официальный пост в канале Positive Technologies

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vulnerability Management-у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM-у в России. 🔥

Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:

🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷‍♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".

В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:

🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM-а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я-то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management-а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM-а за последние 2 года стало проще из-за публичных инцидентов.

Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили - жаль. 😔

Ответы вендоров про отличия от конкурентов:

🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R-Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5-20 секунд на хост. Своя тикетница.
🔸 Spacebit/X-Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉

Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.

Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданноТрадиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅

Довольно сильно изменился состав участников.

В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»

Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision

И остались представители от:
🔹 Positive Technologies
🔹 R-Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit

Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.

Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.