Архив метки: RVisionVM

Ещё одно размышление после конференции R‑Vision, про таски на исправление уязвимостей

Добавить комментарий

Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей

Ещё одно размышление после конференции R‑Vision, про таски на исправление уязвимостей. На этой теме был акцент и в основном выступлении про R‑Vision VM, и в кейсе НРД. Несмотря на то, что таски могут быть предметом долгих разбирательств IT и ИБ, имхо, таски должны быть. Почему?

1. Слова (как и дашборды, доступ для IT-шников в VM-систему, нотификации в почте/мессенджерах и прочее) к делу не пришьёшь. А тут формальная задачка. С критичностью, исполнителем и датой заведения. И для аудитов есть, что показать, и в случае инцидента пригодится. 😏
2. Вполне вероятно, что в организации уже внедрены процессы оценки эффективности работы подразделений на основе анализа статусов тасков, можно и исправление уязвимостей оценивать по аналогии.
3. Руководство ФСТЭК требует заводить таски. Можно, конечно, рассуждать об обязательности этого руководства, но если можно соответствовать, то лучше соответствовать. 😉

Какие это должны быть таски?

Имхо, это должны быть атомарные таски 1 актив и 1 уязвимость. Почему так?

1. Удобно отслеживать реальный прогресс. Иначе, если сделать связь один ко многим или многие ко многим, как абсолютно справедливо заметил в своём вчерашнем докладе Олег Кусеров, это будет приводить к большому количеству частично выполненных тасков.
2. Удобно менять критичность таска в случае изменения критичности уязвимости или актива.
3. Удобно делать интеграцию с системами управления уязвимостями. По сути таск просто привязывается к статусу уязвимости на активе.

Сколько таких тасков будет? Допустим, у нас для одного Lin­ux хоста за месяц выходят 100 новых уязвимостей. Допустим, у нас 10000 Lin­ux хостов в инфраструктуре. Получается миллион тасков за месяц. 12 миллионов в год. И это только Lin­ux!

Отсюда следует:
1. Система для учёта тасков должна быть готова к таким объемам.
2. Вручную работать с такими тасками практически нереально.

Таски должны заводиться и закрываться автоматически по результатам детектирования уязвимостей.

✅ Таким образом ITшники, которые будут выполнять регулярный патчинг своих систем, возможно вообще без оглядки на продетектированные уязвимости, будут, в целом, автоматически соответствовать требованиям по исправлению уязвимостей и будут молодцы. 👍

❓А те ITшники, которые считают, что полное регулярное обновление им не подходит, смогут разбираться с каждой уязвимостью отдельно и тем способом, который сочтут нужным. Включая их ручную обработку. 🤷‍♂️ Может в процессе они скорректирую свои взгляды относительно регулярных обновлений. 😏

Что я вынес из доклада про R‑Vision VM

1 комментарий

Что я вынес из доклада про R-Vision VM

Что я вынес из доклада про R‑Vision VM. Раньше конкурентным преимуществом R‑Vision было то, что они интегрируются со всеми сторонними решениями для детектирования уязвимостей, существующими на рынке. Но они пришли к тому, что некоторые задачи могут быть решены только на своём стеке, включающих в том числе и свой детект. С другой стороны, закрываться от других продуктов они не собираются, возможности для интеграции останутся.

В части детектов R‑Vision VM это OVAL/SCAP сканер. Пока, в рамках MVP, поддерживаются только Lin­ux дистрибутивы.

Западные:
🔹 Debian v. 7–11
🔹 RHEL v. 6–9
🔹 Ubun­tu v. 14.04–23.04
🔹 Suse SLED/SLES 11, 12, 15

Российские:
🔻 RedOS v. 7.3
🔻 AstraL­in­ux v. 17

Расчёт уязвимостей происходит на сервере.

Поддержку Win­dows собираются добавить в конце года — начале следующего.

Куда идут? "VM третьего поколения":

🔸 Активо-центричный подход
🔸 Автоматические сценарии обработки
🔸 Приоритизация с учётом ценности актива
🔸 Патч менеджмент

Сегодня в оффлайне на конференции R‑Vision

Добавить комментарий

Сегодня в оффлайне на конференции R-Vision

Сегодня в оффлайне на конференции R‑Vision. Планирую поучаствовать в "Интерактивном круглом столе нa тему SIEM/VM". Подключайтесь к трансляции в 16:05. 😉

В продолжение темы с R‑Vision VM

1 комментарий

В продолжение темы с R-Vision VM

В продолжение темы с R‑Vision VM. 28 сентября, то есть уже завтра, R‑Vision проводят конфу R‑EVOlution Conf 2023 (игра слов в том, что EVO — это название их экосистемы продуктов), на которой будет как минимум 3 выступления/активности непосредственно связанных с R‑Vision VM:

🔹 11:30–12:30 R‑Vision VM — новый подход к управлению уязвимостями. Название интригующее. 😇
🔹 14:30–15:10 R‑Vision VM — реальный кейс от заказчика. Т.к. докладывается здесь Олег Кусеров, директор по ИБ НРД (Национальный расчетный депозитарий), то можно предположить о каком заказчике пойдет речь.
🔹 16:05–17:05 Интерактивный круглый стол нa тему SIEM/VM.

Я зарегался. Планирую заслушать живую трансляцию или в записи и затем отрефлексировать. 😉

На Anti-Malware вышла статья Алексея Дашкова, директора Центра продуктового менеджмента R‑Vision, "Vulnerability management: как выстроить процесс управления уязвимостями правильно"

Добавить комментарий

На Anti-Malware вышла статья Алексея Дашкова, директора Центра продуктового менеджмента R-Vision, Vulnerability management: как выстроить процесс управления уязвимостями правильно

На Anti-Mal­ware вышла статья Алексея Дашкова, директора Центра продуктового менеджмента R‑Vision, "Vul­ner­a­bil­i­ty man­age­ment: как выстроить процесс управления уязвимостями правильно". R‑Vision давно занимаются VM-темой, заявляют 10 лет, но раньше эта функциональность в решениях R‑Vision не была основной, а детект уязвимостей реализовывался сторонними сканерами. В этом году они презентовали специализированный продукт R‑Vision VM с собственными детектами. Статью можно рассматривать в контексте маркетинговой активности по продвижению нового продукта. 😉 Я прочитал статью и сделал выжимку.

1. Уязвимости присутствуют почти в любой инфраструктуре, их много, эксплуатация может привести к серьёзным последствиям.
2. Западные вендоры оставляют компании в РФ без поддержки и обновлений, поэтому требуется тщательная проработка VM-процесса.
3. В большинстве случаев уязвимости вызваны ошибками программирования, настройки или проектирования.
4. Важность VM подчеркивается в СТО БР ИББС, ISO 27002:2022, CIS Crit­i­cal Secu­ri­ty Con­trols, PCI DSS, руководстве по организации VM процесса ФСТЭК и др.
5. Для небольшой компании можно детектировать уязвимости сканером, а ставить задачи IT вручную силами одного ИБшника. С увеличением количества информационных систем и расширением IT-инфраструктуры требуется VM-процесс.
6. Частые трудности VM-процесса: контроль изменений IT-инфраструктуры, приоритизация уязвимостей, учёт компенсирующих мер, обоснование необходимости исправлять уязвимости для IT, отслеживание статусов/сроков устранения уязвимостей, мониторинг процесса и генерация отчётности.
7. Цикл Управления Уязвимостями: инвентаризация, выявление, приоритизация, устранение, контроль. Рекомендуется внедрять этапы последовательно.
8. Инвентаризация. Получить информацию об активах из системы мониторинга IT-инфраструктуры или CMDB, объединить активы в группы, определить ответственных, связать с подразделениями и бизнес-процессами (и др. типами используемых "нематериальных активов"), понять критическую значимость активов.
9. Выявление. С помощью сканера уязвимостей или вручную (red team­ing). Выполнять постоянно.
10. Приоритизация. Можно использовать CVSS, алгоритм НКЦКИ (от меня: скорее нет — он для принятия решения о патчинге западного ПО), методику оценки критичности ФСТЭК. CVSS не учитывает эксплоиты (от меня: tem­po­ral учитывает, не учитывает активную эксплуатацию). Базовые варианты приоритизации (устранения): только критичные уязвимости, только уязвимости с эксплоитами, только удалённо эксплуатируемые, только на критичных активах. Можно комбинировать.
11. Устранение. Приведена схема. Ключевой аспект — взаимодействие с IT. Заключается в создании задач вручную и автоматизированно (от меня: с тасками аккуратнее). Каждая уязвимость должна проходить процесс обработки с оценкой применимости (от меня: может вырождаться в докажи-покажи). Обновления должны тестироваться. Если нельзя обновить, компенсирующие меры: переконфигурирование, ограничение использования ПО/оборудования, резервирование серверов/сет. оборудования, мониторинг эксплуатации уязвимости, СЗИ (fire­wall, антивирус).
12. Контроль. Оцениваем работу IT и вырабатываем решения по улучшению VM-процесса. Проверка через повторное сканирование или через ручную эксплуатацию. Формируйте отчётность.
13. Цель VM — выявить и устранить проблемы в защите до их превращения в угрозы для бизнеса.
14. К организации VM-процесса можно подходить по-разному, главное, чтобы уязвимости своевременно устранялись и злодеи не смогли их использовать.
15. При позиционировании R‑Vision VM делают акцент на построение полного цикла VM и возможность строить процесс "для нескольких организаций в одной системе" (для сервис-провайдеров?).

Статья понравилась. 👍 Единственное, к сожалению, не увидел пропаганды безусловного регулярного патчинга. Про детекты маловато, особенно про то, что делать если для каких-то систем автоматических детектов нет. Про обработку и таски я по тексту отметил. Про трендовые уязвимости тоже не было, но думаю будет, когда появится такая функциональность.

Безопашка про уязвимости и новый R‑Vision VM

2 комментария

Безопашка про уязвимости и новый R-Vision VM
Безопашка про уязвимости и новый R-Vision VMБезопашка про уязвимости и новый R-Vision VM

Безопашка про уязвимости и новый R‑Vision VM. Вчера на PHDays 12 взял детский журнал от R‑Vision для дочки, а там оказывается контент по нашей теме. Отличная метафора с забором и объяснение сложностей детектирования. Отсылку с кибержуликом тоже оценил. 👍😅 Предыдущие выпуски есть в электронном виде.

На стенде поговорили про новый R‑Vision VM. Релиз ждем к сентябрю. R‑Vision VM будет не только агрегатором уязвимостей от сторонних решений, в нем будут собственные детекты и они уже работают. Пока только в агентном режиме (Win­dows, Lin­ux, MacOS). К сентябрю должно появиться и активное безагентное сканирование. Звучит весьма интригующе, ждем.