Архив метки: Remediation

Разговоры с чудаками и Управление Уязвимостями

Добавить комментарий

Разговоры с чудаками и Управление Уязвимостями

Разговоры с чудаками и Управление Уязвимостями. Согласен с Алексеем Лукацким, что тратить бесценное время жизни на общение с токсичными чудаками решительно не хочется. Но что делать, если это требуется в рамках рабочего процесса? Например, когда коллеги из IT или бизнеса уклоняются от устранения уязвимостей на своих активах, используя разнообразные риторические приёмы.

Имхо, главное беречь свою психику:

🔹 Стараемся не вовлекаться эмоционально. Наблюдаем за перфомансом токсичного коллеги как психиатр за пациентом. Слушаем, фиксируем, прикидываем "диагноз". На словесные выпады не ведёмся. 👨‍⚕️

🔹 Используем стандартную формальную аргументацию, отсылающую (поэтапно) к политикам организации, требованиям регуляторов и уголовному кодексу. ⚖️👮

🔹 Используем стандартную аргументацию, отсылающую к публичным инцидентам. 👾

🔹 На "докажи-покажи" не ведёмся, а вместо этого методично собираем доказательства, что работы не выполняются и поэтапно эскалируем это на руководство. ⬆️😏

Безусловные регулярные обновления - путь реалиста

Добавить комментарий

Безусловные регулярные обновления - путь реалиста

Безусловные регулярные обновления - путь реалиста. Ставшие публичными кейсы Silent Patching-а демонстрируют беспомощность Vulnerability Management-а перед реальностью, в которой мы знаем об уязвимостях продуктов только то, что нам по доброй воле сообщает вендор. Дал информацию вендор - мы разбираем CVE-шки и умничаем о приоритетах их устранения в конкретной инфре. Не дал - мы пребываем в сладких иллюзиях, что всё безопасно вплоть до начала массовых инцидентов. 🤷‍♂️

Можно сколько угодно ворчать, что вендор не должен иметь возможности скрывать инфу по уязвимостям в собственных продуктах. Но они скрывают! 🙂

Единственный вариант снизить риски - принять реальность такой, как она есть. Наши знания об уязвимостях ограничены. Видишь в инфре не обновленный до последней версии софт - обнови его! Семь бед - один apt-get update && apt-get upgrade! 😅 Может обновление не исправляет критичную уязвимость, а может исправляет. 😉 Достоверно нам об этом знать не дано. 🤷‍♂️

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи

Добавить комментарий

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Добавить комментарий

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте?

Должен ли VM-щик в задаче на устранение уязвимости указывать конкретный патч, который нужно установить на хосте? Я думаю так:

🔻 Eсли есть простой способ отдавать такую информацию в IT, то нужно это делать. Например, если такие рекомендации выдаёт сканер уязвимостей.

🔻 Если же это требует трудоёмкого ресёрча, то заниматься этим не следует. Иначе это превратится в очередное "докажи-покажи". И вместо построения VM-процесса для повышения безопасности всей организации вы будете выяснять какая уязвимость какой KB-шкой закрывается. Такое себе. 😏

Важно не забывать, что если уязвимость детектируется на хосте, то это уже косяк IT. В идеале всё должно фикситься в рамках процесса безусловного регулярного патчинга. А сканы на уязвимости должны лишь подтверждать, что всё действительно регулярно обновляется. 🟢👍 Если IT внедрять такой процесс не готовы, то пусть возятся с исправлением конкретных продетектированных уязвимостей, включая поиск нужных патчей. 😉

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

Добавить комментарий

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack. Цель релиза амбициозная: "предоставить все необходимые ресурсы для создания и внедрения полностью функционирующей программы Управления Уязвимостями для вашей компании".

Состав документов:

🔻 Определения Управления Уязвимостями и примеры SLA по устранению уязвимостей
🔻 Требования к репортингу уязвимостей
🔻 Чеклист для подготовки программы по работе с уязвимостями
🔻 Диаграмма процесса Управления Уязвимостями
🔻 Руководство (runbook) по Управлению Уязвимостями
🔻 Метрики управления уязвимостями

Неплохо сочетается с моим виженом по БОСПУУ, особенно в части контроля состояния задач на устранение уязвимостей. На этом в документах основной акцент. 👍 А не так как обычно: "вот вам PDCA, поприоритизируйте уязвимости, скиньте их админам и вжух - всё исправится". 🤪🪄

Разумеется, по деталям нужно вчитываться и править/дополнять, но как основа это определённо заслуживает внимания.

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж