Архив метки: RVisionVM

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистовКонтроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов. Завершаю накидывать по итогам вебинара.

🔬 Качество детектирования уязвимостей проверяют на 700+ стендах. С конкурентами сравниваются (упомянули Nessus, Rapid7 Nexpose). Есть дежурные, которые отрабатывают по false positive ошибкам.

🌐 Покрытие базы уязвимостей можно посмотреть на публичном портале, обновляемом раз в 2 недели.

👂 В новой версии R-Vision VM можно будет искать по базе уязвимостей.

Развитием базы уязвимостей занимается 4 группы специалистов:

👷‍♂️ Инженеры - занимаются развитием исследовательской лаборатории.

🧪 Аналитики и Исследователи - разбирают эксплоиты и логику детектирования. Аналитики фокусируются на режиме Аудит, а Исследователи на режиме Пентест.

👨‍💻 Разработчики - занимаются разработкой движка детектов.

Общее число специалистов около 30.

Бонус: несколько моментов из QA сессии

Наполнение и обогащение базы уязвимостей R-Vision VM

Наполнение и обогащение базы уязвимостей R-Vision VMНаполнение и обогащение базы уязвимостей R-Vision VM

Наполнение и обогащение базы уязвимостей R-Vision VM. Продолжу накидывать по итогам вебинара.

🤔 При принятии решения о том, какие детекты уязвимостей добавлять, "пляшут" от продуктов, используемых у заказчиков, трендовых уязвимостей и уязвимостей периметра.

👁‍🗨 При формировании базы используют как открытые источники (такие как NVD и БДУ), так и закрытые - технические партнёрства и платные базы (в т.ч. по уязвимостям ушедших вендоров, таким как SAP). Состояние источников отслеживается. Правила детектирования старых уязвимостей не исключают (даже для EOL-продуктов).

📶 Добавление нового фида может быть итеративным: сначала детекты уязвимостей, потом описание, how to fix и т.п.

💎 Информация по уязвимостям обогащается: CVSS, EPSS, наличие эксплоитов (без ссылок), трендовость, рекомендации по устранению, русификация.

🪛 Периодически требуется правка правил детектирования со стороны R-Vision ("патчинг уязвимостей").

⏱️ Обновляют базу уязвимостей раз в сутки (будут быстрее).

Общие сведения о базе уязвимостей R-Vision VM

Общие сведения о базе уязвимостей R-Vision VMОбщие сведения о базе уязвимостей R-Vision VM

Общие сведения о базе уязвимостей R-Vision VM. Выпишу некоторые моменты по итогам сегодняшнего вебинара.

🎯 При формировании своей базы уязвимостей R-Vision делали упор на качестве (актуальности данных и корректности логики детектирования), независимости от единственного источника (к которому могут закрыть доступ), максимизации охвата ИТ-инфраструктуры заказчиков и быстроте добавления новых источников.

🧠 Смотрели разные варианты и форматы описания правил детектирования, включая CSAF CVRF. В результате приняли решение пилить самим в OVAL-like формате (в JSON с упрощёнными проверками, +- похоже на мои задумки с SOVA). При этом они могут быстро добавлять источники в формате OVAL - срок от 7 дней. Говорят, что прямо в ходе пилота добавляли правила детектирования уязвимостей ОС. Но вообще для формирования правил детектирования и обогащения базы могут принимать и конвертировать любые фиды.

✅ Compliance-проверки они пишут не в своём OVAL-like формате, а на YAML с VRL-логикой.

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала.

📰 В "Релизах базы уязвимостей" описываются обновления базы уязвимостей с 1 июля 2024 года (выходят 2 раза в месяц). Для уязвимостей, детектируемых в pentest-режиме, приводятся CVE-идентификаторы.

👁 Текущее состояние базы детектов уязвимостей (мисконфигураций) в ОС, стороннем ПО, СУБД и сетевом оборудовании отображается в контексте профилей сканирования:

🔸 Поиск уязвимостей. Параметры: Наименование, Версия, Рекомендации [по устранению уязвимостей], EoL [поддерживается ли версия продукта вендором], Комментарии [об ограничениях детектирования].

🔸 Тестирование на проникновение. Параметры: Наименование, Обнаружение продукта, Поиск уязвимостей по версии, Сбор дополнительной информации, Подбор учётных данных, Эксплуатационное тестирование.

🔸 Проверка стандартов. Параметры: Наименование и Версия.

Здорово, что эта информация теперь в паблике! 👍👏🙂

Про R-Vision R-EVOlution Conference 2025

Про R-Vision R-EVOlution Conference 2025

Про R-Vision R-EVOlution Conference 2025. Впечатления очень приятные. 🙂 Хорошо пообщались и на сцене, и в кулуарах. На сцене много времени уделили качеству сканирования и контролю активов. 😇

Я выкладывал тезисы и фоточки с мероприятия в лайв-канале. Основные моменты:

🔹 Перевод решений R-Vision на новую единую платформу EVO. Уже перевели VM и SIEM.

🔹 Заход в IT-сегмент - анонс решений CMDB, ITSM, ITAM, DGP. 👍 ИБ-процессы (включая VM) должны начинаться с наведения порядка в инфраструктуре. Иначе толку будет мало.

🔹 Новые фичи VM-а: сканирование в режиме комплаенс, новые агенты, поиск по базе детектируемых уязвимостей из интерфейса 🔥, плейбуки для автоматизации. В роадмапе на 2025 web-сканы, сканирование контейнеров, гипервизоров, расширение покрытия сетевых устройств, детекты без перескана.

Из минусов: в этот раз техническим командам R-Vision не дали слово в основной программе. 🤷‍♂️ В прошлом году мне очень нравилась эта фишечка. А так всё круто. 👍🙂

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference

На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference. В 14:00 начнётся панельная дискуссия "Тотальный VM-разбор: вендор, заказчик и ML против уязвимостей". Очень приятно, что коллеги из R-Vision пригласили в дискуссию представителя Positive Technologies (меня 🙂) и RedCheck (Сергея Уздемира). Не часто конкурентам дают слово на вендорских мероприятиях. Большой респект R-Vision за это! 👍👏

Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).

➡️ Регистрация на сайте
📍 Loft Hall и онлайн

Compliance-сканирование в R-Vision VM

Compliance-сканирование в R-Vision VM

Compliance-сканирование в R-Vision VM. Эта фича была в роадмапе R-Vision на Q1. Уложились. 👍

Пока реализованы только низкоуровневые технические стандарты CIS Benchmarks БЕЗ маппинга на высокоуровневые (PCI DSS, ISO 27001 и т.п.). Полный список не предоставляют, но сообщают, что это стандарты "для различных ОС Linux и Windows, сетевых устройств Cisco, ПО (Apache Tomcat, Microsoft Exchange и др.) и СУБД (Oracle, MSSQL и др.)".

Для примера показывают 16 стандартов для Ubuntu 24.04 , Rocky Linux 8/9, RHEL 8/9, Microsoft Windows Server 2016/2022, Windows 10/11, Cisco NX-OS, Cisco IOS XR7.x/XE17.x/17.x, Cisco ASA.

❗ Есть возможность загружать собственные проверки в YAML файлах. Формат немного напоминает Wazuh SCA, но не он. Вполне вероятно, что формат кастомный. Стандарты CIS из коробки реализованы на таких же ямликах. Формат гибкий. Например, позволяет проверять переменные, инициализируемые результатами выполнения команды на хосте (sshexec). 👍