Архив метки: RVisionConf

Ещё одно размышление после конференции R‑Vision, про таски на исправление уязвимостей

Добавить комментарий

Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей

Ещё одно размышление после конференции R‑Vision, про таски на исправление уязвимостей. На этой теме был акцент и в основном выступлении про R‑Vision VM, и в кейсе НРД. Несмотря на то, что таски могут быть предметом долгих разбирательств IT и ИБ, имхо, таски должны быть. Почему?

1. Слова (как и дашборды, доступ для IT-шников в VM-систему, нотификации в почте/мессенджерах и прочее) к делу не пришьёшь. А тут формальная задачка. С критичностью, исполнителем и датой заведения. И для аудитов есть, что показать, и в случае инцидента пригодится. 😏
2. Вполне вероятно, что в организации уже внедрены процессы оценки эффективности работы подразделений на основе анализа статусов тасков, можно и исправление уязвимостей оценивать по аналогии.
3. Руководство ФСТЭК требует заводить таски. Можно, конечно, рассуждать об обязательности этого руководства, но если можно соответствовать, то лучше соответствовать. 😉

Какие это должны быть таски?

Имхо, это должны быть атомарные таски 1 актив и 1 уязвимость. Почему так?

1. Удобно отслеживать реальный прогресс. Иначе, если сделать связь один ко многим или многие ко многим, как абсолютно справедливо заметил в своём вчерашнем докладе Олег Кусеров, это будет приводить к большому количеству частично выполненных тасков.
2. Удобно менять критичность таска в случае изменения критичности уязвимости или актива.
3. Удобно делать интеграцию с системами управления уязвимостями. По сути таск просто привязывается к статусу уязвимости на активе.

Сколько таких тасков будет? Допустим, у нас для одного Lin­ux хоста за месяц выходят 100 новых уязвимостей. Допустим, у нас 10000 Lin­ux хостов в инфраструктуре. Получается миллион тасков за месяц. 12 миллионов в год. И это только Lin­ux!

Отсюда следует:
1. Система для учёта тасков должна быть готова к таким объемам.
2. Вручную работать с такими тасками практически нереально.

Таски должны заводиться и закрываться автоматически по результатам детектирования уязвимостей.

✅ Таким образом ITшники, которые будут выполнять регулярный патчинг своих систем, возможно вообще без оглядки на продетектированные уязвимости, будут, в целом, автоматически соответствовать требованиям по исправлению уязвимостей и будут молодцы. 👍

❓А те ITшники, которые считают, что полное регулярное обновление им не подходит, смогут разбираться с каждой уязвимостью отдельно и тем способом, который сочтут нужным. Включая их ручную обработку. 🤷‍♂️ Может в процессе они скорректирую свои взгляды относительно регулярных обновлений. 😏

Что я вынес из доклада про R‑Vision VM

1 комментарий

Что я вынес из доклада про R-Vision VM

Что я вынес из доклада про R‑Vision VM. Раньше конкурентным преимуществом R‑Vision было то, что они интегрируются со всеми сторонними решениями для детектирования уязвимостей, существующими на рынке. Но они пришли к тому, что некоторые задачи могут быть решены только на своём стеке, включающих в том числе и свой детект. С другой стороны, закрываться от других продуктов они не собираются, возможности для интеграции останутся.

В части детектов R‑Vision VM это OVAL/SCAP сканер. Пока, в рамках MVP, поддерживаются только Lin­ux дистрибутивы.

Западные:
🔹 Debian v. 7–11
🔹 RHEL v. 6–9
🔹 Ubun­tu v. 14.04–23.04
🔹 Suse SLED/SLES 11, 12, 15

Российские:
🔻 RedOS v. 7.3
🔻 AstraL­in­ux v. 17

Расчёт уязвимостей происходит на сервере.

Поддержку Win­dows собираются добавить в конце года — начале следующего.

Куда идут? "VM третьего поколения":

🔸 Активо-центричный подход
🔸 Автоматические сценарии обработки
🔸 Приоритизация с учётом ценности актива
🔸 Патч менеджмент

Сегодня в оффлайне на конференции R‑Vision

Добавить комментарий

Сегодня в оффлайне на конференции R-Vision

Сегодня в оффлайне на конференции R‑Vision. Планирую поучаствовать в "Интерактивном круглом столе нa тему SIEM/VM". Подключайтесь к трансляции в 16:05. 😉

В продолжение темы с R‑Vision VM

1 комментарий

В продолжение темы с R-Vision VM

В продолжение темы с R‑Vision VM. 28 сентября, то есть уже завтра, R‑Vision проводят конфу R‑EVOlution Conf 2023 (игра слов в том, что EVO — это название их экосистемы продуктов), на которой будет как минимум 3 выступления/активности непосредственно связанных с R‑Vision VM:

🔹 11:30–12:30 R‑Vision VM — новый подход к управлению уязвимостями. Название интригующее. 😇
🔹 14:30–15:10 R‑Vision VM — реальный кейс от заказчика. Т.к. докладывается здесь Олег Кусеров, директор по ИБ НРД (Национальный расчетный депозитарий), то можно предположить о каком заказчике пойдет речь.
🔹 16:05–17:05 Интерактивный круглый стол нa тему SIEM/VM.

Я зарегался. Планирую заслушать живую трансляцию или в записи и затем отрефлексировать. 😉