Архив метки: Qualys

Автономные AI-агенты - будущее Vulnerability Management-а

Автономные AI-агенты - будущее Vulnerability Management-а

Автономные AI-агенты - будущее Vulnerability Management-а. В прошлом году у меня был пост про то, как мог бы выглядеть полезный AI для VM-а. Идея на поверхности. После того как VM-решения развились в достаточной мере, что с их помощью действительно стало возможным выполнять детектирование, приоритизацию, заведение и отслеживание задач на устранение уязвимостей (а иногда и само устранение уязвимостей), у клиента возникает запрос:

"Я столько всего МОГУ делать, но что мне СЛЕДУЕТ делать здесь и сейчас для того, чтобы обеспечить наилучшую безопасность организации? Дайте совет! А ещё лучше, проведите работы, по возможности, за меня. 😏"

Можно возразить, что автономные агенты, если дать им волю, порушат инфраструктуру организации. Так же, как и бездумное использование автопатчинга. Но в этом и состоит задача VM-вендора - реализовать защитные меры таким образом, чтобы нивелировать возможные риски.

📅 Посмотрим, как автономные AI-агенты будут работать у Qualys. 😉

Qualys представили решение Agentic AI для автономного управления киберрисками

Qualys представили решение Agentic AI для автономного управления киберрисками

Qualys представили решение Agentic AI для автономного управления киберрисками. В рамках решения Qualys предоставляет готовых агентов по киберрискам ("Cyber Risk Agents"), которые работают автономно и выступают в роли дополнительной квалифицированной цифровой рабочей силы ("skilled digital workforce"). Agentic AI не только выявляет проблемы и предоставляет аналитические данные, но и самостоятельно определяет критические риски, расставляет приоритеты и запускает целевые процессы устранения рисков.

Доступные агенты на маркетплейсе:

🔹 Выявление и приоритизация рисков, связанных с внешними атаками
🔹 Адаптивная оценка рисков облаков
🔹 Оценка готовности к аудиту и составление отчётов
🔹 Приоритизация рисков на основе угроз
🔹 Автономный цикл "Microsoft Patch Tuesday"
🔹 Self-Healing агент для управления уязвимостями

Также представили Cyber Risk Assistant - интерфейс с подсказками для преобразования данных о рисках в контекстно-зависимые действия с автономным выполнением.

Посмотрел отчёт "The Forrester Wave: Unified Vulnerability Management Solutions, Q3 2025"

Посмотрел отчёт The Forrester Wave: Unified Vulnerability Management Solutions, Q3 2025

Посмотрел отчёт "The Forrester Wave: Unified Vulnerability Management Solutions, Q3 2025". Только я поиронизировал сегодня, что для VM-а существует множество странных синонимов, как вот вам ещё один: "Unified" VM от Forrester. 🙃

🔹 UVM-решения должны "консолидировать детектирование уязвимостей и устранение уязвимостей". Но сами детектировать уязвимости не обязаны, могут использовать third-party источники.

🔹 Наибольший вес в сравнении Forrester отдают Vision, Innovation и Roadmap. 😅 А качество детектирования практически никак не учитывается. 🤷‍♂️

🔹 В лидерах вендоры, которые, судя по описанию, не имеют своих детектов: Armis и ServiceNow. 😏 Ну и ещё Tenable.

🔹 Для каждого из 10 вендоров приводятся описание, стратегия, возможности, фидбэк от пользователей и мнение Forrester. Полезность так себе, но почитать можно.

➡️ Репринт на сайте Tenable (в анкету можно вводить мусор)

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990)

Про уязвимость Elevation of Privilege - needrestart (CVE-2024-48990). 19 ноября Qualys выпустили бюллетень безопасности про 5 уязвимостей повышения привилегий в утилите needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), используемой по умолчанию в Ubuntu Server, начиная с версии 21.04.

Утилита needrestart запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет требуется ли перезагрузка для системы или ее служб. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.

Все 5 уязвимостей позволяют обычному пользователю стать root-ом. Для всех у Qualys есть приватные эксплоиты. Публичный эксплоит есть пока только для одной, связанной с переменной окружения PYTHONPATH. ⚡️ Он доступен на Github с 20 ноября.

Обновляйте needrestart до версии 3.8 или отключайте "interpreter scanning" в needrestart.conf.

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров

Qualys выпустили QScanner - консольный сканер уязвимостей для образов контейнеров. Натравляем его на образ и получаем список уязвимостей (а-ля Trivy).

Поддерживает:

"Local Runtimes: Scan images from Docker, Containerd, or Podman.
Local Archives: Analyze Docker images or OCI layouts from local files.
Remote Registries: Connect to AWS ECR, Azure Container Registry, JFrog, GHCR, and more."

Возможности:

🔹 детектирует уязвимости пакетов ОС
🔹 Software Composition Analysis (SCA) для приложений на Ruby, Rust, PHP, Java, Go, Python, .NET и Node.js.
🔹 детектирует секреты (пароли, ключи API и токены)

Но не бесплатно. 🤷‍♂️💸🙂 Все кейсы, кроме генерации SBOM, требуют ACCESS_TOKEN и Platform POD. Т.е. нужен Qualys Container Security, где будут сохраняться результаты сканирования QScanner-ом.

Можно использовать для:

🔸 сканирования локальных образов на десктопах разрабоов
🔸 интеграции в CI/CD пайплайны
🔸 интеграции с реестрами

Концепция интересная. 👍

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера

Qualys представили интересную фичу - установку облачных агентов с помощью сканера. Поддерживается Windows (X86-32/64) и Linux (X64-RPM, X64-DEB). Есть видео с демонстрацией как это делать в GUI Qualys.

Зачем оно нужно?

🔹 Руками ставить агенты на хосты трудоемко и это может приводить к ошибкам.
🔹 Можно использовать сторонние инструменты автоматизации установки приложений (если есть). Эта фича отчасти снимает необходимость в таких инструментах.
🔹 Обнаружение и развертывание агентов можно делать в рамках одного процесса. Хосты без агента можно отслеживать через "QID 45592 – Qualys Cloud Agent not installed".

Функция заработает для всех к декабрю 2024 года, пока включают ручками через TAM-а.

Очень логичное улучшение. У Qualys агенты давно стали основным способом получения данных с хоста и изменения его состояния (включая патчинг и применение workaround-ов). Теперь разворачивание агента становится не сложнее обычного безагентного сканирования хоста. 👍