Архив метки: RVision

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Добавить комментарий

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период

Сделал сравнение трендовых уязвимостей в дайджестах R-Vision за август и сентябрь с трендовыми уязвимостями Positive Technologies за тот же период. Прошлый раз я такое проделывал в середине августа. 😉

Трендовые и у R-Vision, и у Positive Technologies:

RCE - Cisco ASA (CVE-2025-20333)
AuthBypass - Cisco ASA (CVE-2025-20362)
RCE - WinRAR (CVE-2025-8088)

Трендовые только у R-Vision:

🔹 RCE - Cisco IOS XE (CVE-2025-20352, CVE-2025-20363)
🔹 RCE - NetScaler ADC (CVE-2025-7775)
🔹 RCE - Wing FTP Server (CVE-2025-47812)
🔹 MemCor - Chromium (CVE-2025-10585)
🔹 CodeInj - PostgreSQL (CVE-2025-8714)

Трендовые только у Positive Technologies*:

🔻 RCE - TrueConf Server (BDU:2025-10116, BDU:2025-10114, BDU:2025-10115)
🔻 RCE - SAP NetWeaver (CVE-2025-42999, CVE-2025-31324)
🔻 RCE - 7-Zip (CVE-2025-55188)
🔻 EoP - Sudo (CVE-2025-32463)

* добавленные в трендовые между 5 августа и 7 октября

🗒 Полный отчёт Vulristics

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Добавить комментарий

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистовКонтроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов. Завершаю накидывать по итогам вебинара.

🔬 Качество детектирования уязвимостей проверяют на 700+ стендах. С конкурентами сравниваются (упомянули Nessus, Rapid7 Nexpose). Есть дежурные, которые отрабатывают по false positive ошибкам.

🌐 Покрытие базы уязвимостей можно посмотреть на публичном портале, обновляемом раз в 2 недели.

👂 В новой версии R-Vision VM можно будет искать по базе уязвимостей.

Развитием базы уязвимостей занимается 4 группы специалистов:

👷‍♂️ Инженеры - занимаются развитием исследовательской лаборатории.

🧪 Аналитики и Исследователи - разбирают эксплоиты и логику детектирования. Аналитики фокусируются на режиме Аудит, а Исследователи на режиме Пентест.

👨‍💻 Разработчики - занимаются разработкой движка детектов.

Общее число специалистов около 30.

Бонус: несколько моментов из QA сессии

Наполнение и обогащение базы уязвимостей R-Vision VM

Добавить комментарий

Наполнение и обогащение базы уязвимостей R-Vision VMНаполнение и обогащение базы уязвимостей R-Vision VM

Наполнение и обогащение базы уязвимостей R-Vision VM. Продолжу накидывать по итогам вебинара.

🤔 При принятии решения о том, какие детекты уязвимостей добавлять, "пляшут" от продуктов, используемых у заказчиков, трендовых уязвимостей и уязвимостей периметра.

👁‍🗨 При формировании базы используют как открытые источники (такие как NVD и БДУ), так и закрытые - технические партнёрства и платные базы (в т.ч. по уязвимостям ушедших вендоров, таким как SAP). Состояние источников отслеживается. Правила детектирования старых уязвимостей не исключают (даже для EOL-продуктов).

📶 Добавление нового фида может быть итеративным: сначала детекты уязвимостей, потом описание, how to fix и т.п.

💎 Информация по уязвимостям обогащается: CVSS, EPSS, наличие эксплоитов (без ссылок), трендовость, рекомендации по устранению, русификация.

🪛 Периодически требуется правка правил детектирования со стороны R-Vision ("патчинг уязвимостей").

⏱️ Обновляют базу уязвимостей раз в сутки (будут быстрее).

Общие сведения о базе уязвимостей R-Vision VM

Добавить комментарий

Общие сведения о базе уязвимостей R-Vision VMОбщие сведения о базе уязвимостей R-Vision VM

Общие сведения о базе уязвимостей R-Vision VM. Выпишу некоторые моменты по итогам сегодняшнего вебинара.

🎯 При формировании своей базы уязвимостей R-Vision делали упор на качестве (актуальности данных и корректности логики детектирования), независимости от единственного источника (к которому могут закрыть доступ), максимизации охвата ИТ-инфраструктуры заказчиков и быстроте добавления новых источников.

🧠 Смотрели разные варианты и форматы описания правил детектирования, включая CSAF CVRF. В результате приняли решение пилить самим в OVAL-like формате (в JSON с упрощёнными проверками, +- похоже на мои задумки с SOVA). При этом они могут быстро добавлять источники в формате OVAL - срок от 7 дней. Говорят, что прямо в ходе пилота добавляли правила детектирования уязвимостей ОС. Но вообще для формирования правил детектирования и обогащения базы могут принимать и конвертировать любые фиды.

✅ Compliance-проверки они пишут не в своём OVAL-like формате, а на YAML с VRL-логикой.

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE"

Добавить комментарий

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision Как отличить качественную базу уязвимостей от справочника CVE

На сайте Anti-Malware вышла статья Николая Рягина из R-Vision "Как отличить качественную базу уязвимостей от справочника CVE". Мне статья очень понравилась, в лайв-канале я сделал краткую выжимку.

Согласно статье, базы знаний средств детектирования уязвимостей и связанные с ними процессы VM-вендоров могут существенно различаться как минимум по девяти параметрам качества:

1. 📦 Полнота покрытия продуктов
2. 🔄 Частота выпуска обновлений правил детектирования
3. 🌐 Использование источников данных об уязвимостях
4. ✅ Верификация правил детектирования
5. 🧪 Тестирование процесса детектирования
6. 🔍 Прозрачность логики детектирования
7. ⚡️ Скорость исправления ошибок детектирования
8. 🛠 Адаптируемость детектирования под заказчика
9. 📖 Полнота информации по устранению уязвимостей

💡 Имхо, эти параметры могут стать основой для открытого фреймворка, используемого как самими VM-вендорами для самооценки своих решений и процессов, так и клиентами при выборе VM-решений.

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025

Добавить комментарий

Дайджест трендовых уязвимостей R-Vision В фокусе RVD за июль 2025

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025. R-Vision отметили 3 уязвимости:

🔹 RCE - Microsoft SharePoint Server (CVE-2025-53770). Наиболее критичная уязвимость июля. У нас тоже в дайджесте была. ✅
🔹 RCE - WinRAR (CVE-2025-6218). Эта уязвимость у нас тоже в трендовых, но пойдёт уже в сентябрьский дайжест вместе с CVE-2025-8088. ✅
🔹 SFB - Chromium (CVE-2025-6558). Тут расхождение. Мы браузерные уязвимости Chromium к трендовым не относим, т.к. все они должны (по идее) закрываться настройками автообновления браузера. ❌

❓ Уязвимость EoP - Windows Update Service (CVE-2025-48799) попала к нам в дайджест и не попала в дайджест R-Vision. Эксплоит есть - пора трендить и патчить до начала массовых атак. 😉

Дайджест добротный, хорошо структурированный. Содержит вектор атаки, пруфы вендора, описание уязвимости, статус эксплуатации, сценарии атаки, рекомендации по устранению. 👍

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей

Добавить комментарий

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей

R-Vision тоже стали выпускать ежемесячные дайджесты трендовых уязвимостей. И да, они тоже используют словосочетание "трендовые уязвимости", как и Positive Technologies. Хотя мы, видимо, понимаем под этим несколько разные вещи и здесь стоило бы сверить определения. 😉 Дайджесты R-Vision называются не "В тренде VM", а "В фокусе RVD" (R-Vision Vulnerability Database). 🙂

Имхо, чем больше VM-вендоров будут выпускать материалы по критичным уязвимостям, на которые стоит обращать внимание, тем лучше. 👍 Пользователи смогут смотреть разные дайджесты и задаваться вопросом, почему у одного вендора одни уязвимости в дайджест попали, а у другого вендора не попали. Вендоры тоже могут делать свои выводы. Ну и в целом экспертиза будет расти, awareness усиливаться, и, будем надеяться, что ситуация с уязвимостями в российских организациях будет улучшаться от этого. Win-win-win! 😉