Архив метки: RVisionVM

Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1

Добавить комментарий

Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1
Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1

Коллеги из R-Vision представили на днях новую версию системы управления уязвимостями R‑Vision VM 6.1. Резюме маркетологов R-Vision: "в релизе особое внимание было уделено тому, что важно в ежедневной работе: ускорении поиска уязвимостей, гибкой приоритизации и автоматизации рутинных процессов".

Подробности и демо, видимо, стоит ожидать на вебинаре 24 марта и на конференции R‑EVOlution 9 апреля.

В пресс-релизе R-Vision сделали акцент на следующие фичи:

🎯 Поиск уязвимостей без повторного сканирования "Ретроспективный аудит". Представляется как ключевое нововведение версии. Механизм позволяет выявлять уязвимости на основе ранее собранных данных, без запуска повторного сканирования. Фича опциональная. Можно настроить для отдельных хостов, групп хостов или для всех хостов. Запускается по триггерам - обновление базы (сразу пересчитывается по всем указанным целям), по расписанию или вручную.

С технической точки зрения здесь речь идёт о повторной корреляции уже собранных атрибутов активов (например, CPE, версии ПО, установленные пакеты, баннеры сервисов, результаты аутентифицированных проверок, конфигурационные артефакты) с обновлённой базой уязвимостей (в случае R-Vision речь, видимо, идёт о правилах детектирования уязвимостей на OVAL-like языке). За счёт того, что сбор актуальных данных о хосте не производится, новые уязвимости могут быть выявлены практически мгновенно, без нагрузки на сеть и хосты.

Ограничение такого подхода в том, что он строго зависит от полноты и качества ранее собранных данных. Если, например, при последнем сканировании по каким-то причинам не была получена точная версия ПО, то корректный match с новой уязвимостью для этого ПО не получится. Аналогично, любые изменения после последнего скана (установка нового ПО, появление сервиса, изменение конфигурации) не будут учтены. Поэтому ретроспективный аудит — это слой аналитики поверх исторических данных, и он должен работать в связке с регулярным агентным/безагентным сканированием для актуализации данных об активах.

🧠 Графический конструктор расчёта рейтинга уязвимостей. Фича позволяет настраивать формулу приоритизации уязвимостей прямо в интерфейсе, используя атрибуты уязвимости, оборудования или групп ИТ-активов. Формула может учитывать различные типы данных (числовые, текстовые и справочники), что позволяет гибко адаптировать расчёт рейтинга под особенности конкретной ИТ-инфраструктуры.

Пример формулы для расчёта рейтинга уязвимости:

round((mean({calculation:calculate_cvss}) * (mean({calculation:calculate_k}) + mean({calculation:calculate_l}) + mean({calculation:calculate_p})) *
(mean({calculation:calculate_lat}) + mean({calculation:calculate_limp}))) * 10) / 10

Доступны преднастроенные варианты, включая основанный на Методике оценки уровня критичности уязвимостей (ФСТЭК 30.06.2025).

С технической точки зрения это реализация движка кастомного скоринга, где итоговый рейтинг вычисляется через пользовательское выражение, а UI выступает как визуальный конструктор над ним. В формуле используются атрибуты из разных источников (уязвимость, актив, контекст), а пересчёт выполняется автоматически при изменении данных. Это позволяет уйти от статичного CVSS к контекстной приоритизации уязвимости. Однако следует учитывать, что сложность таких моделей быстро растёт, их трудно валидировать и поддерживать, а итоговое качество напрямую зависит от полноты и актуальности данных об активах и уязвимостях.

⚙️ Новый механизм политик управления активами и уязвимостями. Он позволяет задавать правила, которые автоматически срабатывают при наступлении заданных условий (по событию или по расписанию). Заявляется, что политики могут изменять атрибуты любых объектов системы или выполнять нужные действия: например, создавать задачу на устранение уязвимости при ее появлении, менять статус актива при обновлении данных или автоматически переводить уязвимость в нужную категорию на основании ее параметров. Поддерживается работа со всеми полями объектов. Это позволяет реализовывать сложные пользовательские сценарии – как в части управления уязвимостями, так и при построении ресурсно-сервисных моделей активов.

По сути, это слой автоматизации поверх модели данных системы. Ценность - в снижении ручной работы и стандартизации процессов. Ограничения - сложность управления большим числом правил, риск конфликтов и неочевидной логики, а также зависимость от качества и консистентности данных.

📂 Сканирование групп IT‑активов. Теперь группы IT‑активов можно использовать в задачи сканирования (как в списке целей, так и в исключениях). Состав таких групп может автоматически изменяться, что позволяет использовать одну задачу для актуальных групп активов и упрощает организацию процесса сканирования. Пример групп активов со скриншота: "Критичные устройства", "Критический ГИТ". Сканирование выполняется по IP или FQDN хоста.

Ценность - снижение операционных затрат и уменьшение ошибок. Ограничения - зависимость от корректности группировки: при ошибках в логике формирования групп возможны пропуски или избыточное сканирование, а также меньшая предсказуемость состава целей в конкретный момент времени.

📊 Улучшение информативности карточки задачи сканирования. Туда добавили статистику выполнения, отображение прогресса и ошибок подключения или сбора данных, что упрощает диагностику и контроль хода сканирования.

На последнем скриншоте можем видеть историю запусков. Для запуска показывается статус (завершён/отменён), статистику выполнения сканирования по целям, четырёхсегментный индикатор для статуса сканирования каждого таргета. Довольно симпатично. 🙂

⏱️ Настройка работы агентного сканирования. Появилось настраиваемое расписание, позволяющее задавать периодичность и время сбора данных.

Это должно помогать оптимизировать нагрузку на сеть и хосты. Интересно, как обрабатываются ситуации, когда синхронизация агента с сервером по каким-то причинам невозможна. Агент будет ждать следующего запуска по расписанию или выполнит синхронизацию ASAP?

📊 Улучшение информативности интерфейса. Добавлены полноэкранные карточки оборудования и уязвимостей, расширен набор отображаемых параметров, поддерживается перевод полей уязвимостей на русский язык, улучшены фильтры и представление данных.

В целом, по описанию все фичи выглядят интересно. Ждём демо. 🙂

Продолжу разбирать "10 неудобных вопросов Product Manager-у по VM" из подкаста коллег из R-Vision

Добавить комментарий

Продолжу разбирать 10 неудобных вопросов Product Manager-у по VM из подкаста коллег из R-Vision

Продолжу разбирать "10 неудобных вопросов Product Manager-у по VM" из подкаста коллег из R-Vision.

Вопрос 2: Вы можете гарантировать, что в вашем сканере уязвимостей не будет фолзов?

💬 Андрей Селиванов сначала пошутил, что можно гарантировать отсутствие фолзов, если просто не проводить сканирование. 😏 Далее сказал, что фолзы (некорректные детекты каких-то уязвимостей) есть в абсолютно любом решении. Причин для этого может быть масса: от некорректной информации по детектированию уязвимости в источнике данных об уязвимости (например, бюллетене RHSA вендора Red Hat или на странице с описанием уязвимости Microsoft) до ошибок при написании правил детектирования на стороне VM-вендора. Важны два параметра: процент допустимых фолзов в решении VM-вендора и то, как быстро VM-вендор их устраняет (принимая от клиентов через форму обратной связи).

#️⃣ С этим тоже не поспоришь. Но я бы посмотрел несколько шире. Фолзы - это не только про то, что какие-то конкретные правила детектирования были реализованы некорректно. Хотя, безусловно, и это тоже, и хотелось бы, чтобы такие проблемы VM-вендор ловил самостоятельно, а не только после того, как их зарепортят клиенты. 😉 Это ещё и про зрелое восприятие возможностей VM-продукта и зрелое позиционирование VM-продукта вендором.

🔹 Если сканер не детектирует какие-то уязвимости в инфраструктуре, потому что не поддерживает те или иные продукты или способы установки, это со стороны клиента может выглядеть как false negative. А может как вполне осознаваемые ограничения детектирования VM-продукта.

🔹 И с другой стороны, то, что упомянул вскользь Андрей "многое зависит от окружения, от специфических условий", когда сканер детектирует уязвимости в библиотеке, которая по факту не используется, это может восприниматься со стороны клиента как жуткие false positive ошибки. А может как особенность детектирования "потенциальных" уязвимостей сканером.

Тут, наверное, хотелось бы, чтобы мы (как VM-комьюнити) отходили от восприятия любых средств анализа защищённости как волшебных оракулов, которые выдадут все 100% имеющихся уязвимостей в инфраструктуре. Конечно же, нет. 🤷‍♂️

Детектирование всех уязвимостей конкретной инфраструктуры - это сложная задача. За которую ответственен в первую очередь VM-специалист. И VM-специалист должен понимать ограничения используемых средств анализа защищённости и выбирать наиболее адекватные из них (а не самые дешёвые 😉).

Смотрю подкаст коллег из R-Vision Андрея Селиванова (руководитель продукта R-Vision VM) и Антона Исаева (лидер продуктовой практики R-Vision SIEM/VM) "10 неудобных вопросов Product Manager-у по VM"

1 комментарий

Смотрю подкаст коллег из R-Vision Андрея Селиванова (руководитель продукта R-Vision VM) и Антона Исаева (лидер продуктовой практики R-Vision SIEM/VM) 10 неудобных вопросов Product Manager-у по VM

Смотрю подкаст коллег из R-Vision Андрея Селиванова (руководитель продукта R-Vision VM) и Антона Исаева (лидер продуктовой практики R-Vision SIEM/VM) "10 неудобных вопросов Product Manager-у по VM". Естественно, обсуждение шло в контексте решения R-Vision VM. Интересный формат и подборка вопросов. 🔥 Собираюсь их постепенно разобрать и добавить свои комментарии. 😉

Вопрос 1: Класс Vulnerability Management решений - это маркетинговая обёртка сканеров уязвимостей или за этим есть какие-то дополнительные технологии?

💬 Андрей Селиванов ответил в духе, что VM-решения - эволюционное развитие сканеров уязвимостей, потребность в которых возникла с увеличением количества активов (сказал, что у них есть клиент с 300 000 конечных точек и сотней миллионов уязвимостей) и увеличением разнообразия типов активов. Все уязвимости на этих активах необходимо эффективно детектировать, приоритизировать и ставить задачи на устранение. С простым сканером уязвимостей с таким объёмом справляться сложно, требуется более функциональное решение. "Но сканер - это то, по чему встречают решение в любом пилоте и у любого клиента". Важно, насколько качественно выявляются уязвимости, насколько широкое покрытие. "Если у тебя не будет нормального сканера, называться полноценным VM-решением - ну такое себе".

#️⃣ В целом, согласен со сказанным. Особенно в части качества детектирования. 👍 Единственное я бы выделил такие формальные признаки сканера уязвимостей и VM-решения: если средство анализа защищённости (САЗ) работает в парадигме отдельных сканов - это сканер уязвимостей. Классический пример - Nessus. А если САЗ хранит картину текущего состояния всей инфраструктуры (активов и уязвимостей на них), позволяет делать выборки по уязвимостям, делать приоритизацию уязвимостей, заводить и отслеживать задачи на устранение (через встроенную тикетницу или через интеграции) и производить прочую высокоуровневую обработку, то это уже решение класса Vulnerability Management. Потому что это решение реализует внутри себя Vulnerability Management процесс. Ну или, во всяком случае, вендор решения это декларирует и к этому стремится. 😉

При этом я НЕ считаю, что любое VM-решение априори лучше любого сканера уязвимостей и должно стоить дороже.

🔹 И сканер уязвимостей может быть оправданно дорогим, если он реализует востребованную, крутую и качественную экспертизу по детектированию. Даже если он поставляется в виде консольной утилиты, а то и вовсе в виде фида с контентом.

🔹 В свою очередь VM-решение может лишь формально реализовывать заявленную функциональность и, к примеру, не справляться с реальной нагрузкой (особенно если его навайбкодили за выходные 😉). VM-решение вообще может быть опенсурсным проектом, типа Faraday Security или DefectDojo, и стоить (ну, в теории 😏) 0 руб.

Так что маркетинговые категории мало чего значат на самом деле. Нужно смотреть в суть.

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Добавить комментарий

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистовКонтроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов

Контроль качества базы уязвимостей R-Vision VM и задействованные группы специалистов. Завершаю накидывать по итогам вебинара.

🔬 Качество детектирования уязвимостей проверяют на 700+ стендах. С конкурентами сравниваются (упомянули Nessus, Rapid7 Nexpose). Есть дежурные, которые отрабатывают по false positive ошибкам.

🌐 Покрытие базы уязвимостей можно посмотреть на публичном портале, обновляемом раз в 2 недели.

👂 В новой версии R-Vision VM можно будет искать по базе уязвимостей.

Развитием базы уязвимостей занимается 4 группы специалистов:

👷‍♂️ Инженеры - занимаются развитием исследовательской лаборатории.

🧪 Аналитики и Исследователи - разбирают эксплоиты и логику детектирования. Аналитики фокусируются на режиме Аудит, а Исследователи на режиме Пентест.

👨‍💻 Разработчики - занимаются разработкой движка детектов.

Общее число специалистов около 30.

Бонус: несколько моментов из QA сессии

Наполнение и обогащение базы уязвимостей R-Vision VM

Добавить комментарий

Наполнение и обогащение базы уязвимостей R-Vision VMНаполнение и обогащение базы уязвимостей R-Vision VM

Наполнение и обогащение базы уязвимостей R-Vision VM. Продолжу накидывать по итогам вебинара.

🤔 При принятии решения о том, какие детекты уязвимостей добавлять, "пляшут" от продуктов, используемых у заказчиков, трендовых уязвимостей и уязвимостей периметра.

👁‍🗨 При формировании базы используют как открытые источники (такие как NVD и БДУ), так и закрытые - технические партнёрства и платные базы (в т.ч. по уязвимостям ушедших вендоров, таким как SAP). Состояние источников отслеживается. Правила детектирования старых уязвимостей не исключают (даже для EOL-продуктов).

📶 Добавление нового фида может быть итеративным: сначала детекты уязвимостей, потом описание, how to fix и т.п.

💎 Информация по уязвимостям обогащается: CVSS, EPSS, наличие эксплоитов (без ссылок), трендовость, рекомендации по устранению, русификация.

🪛 Периодически требуется правка правил детектирования со стороны R-Vision ("патчинг уязвимостей").

⏱️ Обновляют базу уязвимостей раз в сутки (будут быстрее).

Общие сведения о базе уязвимостей R-Vision VM

1 комментарий

Общие сведения о базе уязвимостей R-Vision VMОбщие сведения о базе уязвимостей R-Vision VM

Общие сведения о базе уязвимостей R-Vision VM. Выпишу некоторые моменты по итогам сегодняшнего вебинара.

🎯 При формировании своей базы уязвимостей R-Vision делали упор на качестве (актуальности данных и корректности логики детектирования), независимости от единственного источника (к которому могут закрыть доступ), максимизации охвата ИТ-инфраструктуры заказчиков и быстроте добавления новых источников.

🧠 Смотрели разные варианты и форматы описания правил детектирования, включая CSAF CVRF. В результате приняли решение пилить самим в OVAL-like формате (в JSON с упрощёнными проверками, +- похоже на мои задумки с SOVA). При этом они могут быстро добавлять источники в формате OVAL - срок от 7 дней. Говорят, что прямо в ходе пилота добавляли правила детектирования уязвимостей ОС. Но вообще для формирования правил детектирования и обогащения базы могут принимать и конвертировать любые фиды.

✅ Compliance-проверки они пишут не в своём OVAL-like формате, а на YAML с VRL-логикой.

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала

Добавить комментарий

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного порталаR-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала

R-Vision раскрыли информацию о продуктах, поддерживаемых R-Vision VM, в новом разделе справочного портала.

📰 В "Релизах базы уязвимостей" описываются обновления базы уязвимостей с 1 июля 2024 года (выходят 2 раза в месяц). Для уязвимостей, детектируемых в pentest-режиме, приводятся CVE-идентификаторы.

👁 Текущее состояние базы детектов уязвимостей (мисконфигураций) в ОС, стороннем ПО, СУБД и сетевом оборудовании отображается в контексте профилей сканирования:

🔸 Поиск уязвимостей. Параметры: Наименование, Версия, Рекомендации [по устранению уязвимостей], EoL [поддерживается ли версия продукта вендором], Комментарии [об ограничениях детектирования].

🔸 Тестирование на проникновение. Параметры: Наименование, Обнаружение продукта, Поиск уязвимостей по версии, Сбор дополнительной информации, Подбор учётных данных, Эксплуатационное тестирование.

🔸 Проверка стандартов. Параметры: Наименование и Версия.

Здорово, что эта информация теперь в паблике! 👍👏🙂