Архив метки: SecurityVisionVM

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Добавить комментарий

Распишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинареРаспишу по поводу карты достижимости в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре

Распишу по поводу "карты достижимости" в Security Vision VM, которую коллеги из Security Vision зарелизили в январе и показали вживую на прошлой неделе на вебинаре. Скриншоты я делал с трансляции, поэтому извините за качество. 🤷‍♂️ Апскейлер не особо помог, но основное там вроде видно. 🙂

Так вот, карта достижимости - это граф с информацией о том, до каких критических активов злоумышленник может дойти в ходе эксплуатации уязвимостей на активах IT-инфраструктуры организации.

Информация для построения карты сети берётся из результатов активного сканирования (инвентаризации) хостов и сетевых устройств. При построении используются собранные таблицы маршрутизации, сетевые службы, порты, протоколы, сетевые интерфейсы. Чем полнее сканируете инфру, тем адекватнее будет карта.

Критичность активов может как задаваться вручную на странице актива (уровень критичности и флаг "стратегического" актива - аналог "целевого" из методологии РКН), так и определяться автоматически (есть ли у актива доступ в Интернет, есть ли у актива привязка к стратегическому активу).

При построении графов достижимости поиск направлен в сторону стратегических активов.

Далее на граф накладывается информация о продетектированных уязвимостях и получается финальная карта достижимости.

🔴 Красные связи показывают достижимость атаки до критических активов через эксплуатацию уязвимостей на хостах.

🟡 Жёлтые связи показывают прерывание атаки на определенном активе и невозможность развития атаки по данному маршруту.

Эта карта кликабельна, при нажатии на иконку актива на карте открывается полная карточка с подробной информацией о его конфигурациях и уязвимостях.

Ок, это всё красиво. Но как это использовать для приоритизации активов и уязвимостей? 🤔

В правой части дашбордов есть таблички с ТОПом активов и их уязвимостей с параметром "степень участия". Этот параметр некоторым образом проприетарно высчитывается и характеризует степень участия актива или уязвимости в потенциальной атаке. Соответственно, следует в первую очередь обращать внимание на активы и уязвимости с максимальной степенью участия. Так на скриншоте можно видеть публично доступный Linux хост с Confluence (с.у. 0,5) уязвимый к CVE-2023-22527 (с.у. 0,5) и виндовую RCE CVE-2024-38063 (с.у. 1).

В общем, такая вот новая функциональность. Это, конечно, пока не тянет на полноценное моделирование Attack Paths, т.к.

🔹 На графе отображаются продетектированные уязвимости со зрелыми эксплоитами и сетевым вектором, НО не производится глубокого анализа, как именно конкретные уязвимости эксплуатируются, какие для этого должны выполняться условия, что именно злоумышленники могут достичь через эксплуатацию, как именно они могут развивать атаку и т.п. То есть нет явной симуляции действий злоумышленника в контексте конкретного хоста. Пока демонстрируемая эксплуатабельность носит более теоретический характер, но предвижу развитие продукта в сторону большей конкретики. 😉

🔹 Это всё про уязвимости софта (CVE), а не про экспозиции. Те же проблемы с учётками и мисконфигурации никак не учитываются, но коллеги из Security Vision обещают добавить их на граф уже в ближайших релизах.

Но в любом случае, как некоторые быстрые первые шаги в сторону дополнительной приоритизации уязвимостей на основе сетевой связности - это вполне имеет право на существование. 🙂👍

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM

Добавить комментарий

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VMПоделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM

Поделюсь впечатлениями от сегодняшнего вебинара про Security Vision VM. Вебинар назывался достаточно провокационно: "98% уязвимостей можно игнорировать? Как перестать чинить всё подряд и заняться реальными угрозами". Меня формулировки про 2% всегда триггерят. 😤 Я считаю, что фиксить нужно ВСЕ уязвимости (но с разным SLA) и, по возможности, безусловным патчингом.

Но, по правде сказать, на этом вебинаре и НЕ транслировали идею, что 98% уязвимостей можно игнорировать. Скорее, подробно демонстрировали возможности Security Vision VM (я наделал ~100 скринов 🔥) и говорили о необходимости приоритизированного устранения уязвимостей. 👌

Для этого Security Vision представили свою версию Трендовых Уязвимостей. Это уязвимости из CISA KEV ИЛИ с EPSS > 0,5. Всего у них получается ~1500 таких уязвимостей.

Мне, конечно, есть что сказать и про EPSS, и про CISA KEV. 🙄 Но как быстрое решение, как плейсхолдер - почему бы и нет. Это лучше, чем ничего. 👍

У Security Vision вышла новая версия Vulnerability Scanner

Добавить комментарий

У Security Vision вышла новая версия Vulnerability ScannerУ Security Vision вышла новая версия Vulnerability ScannerУ Security Vision вышла новая версия Vulnerability ScannerУ Security Vision вышла новая версия Vulnerability Scanner

У Security Vision вышла новая версия Vulnerability Scanner. Прошлый релиз был в сентябре-октябре.

🔹 Реализовали построение графа достижимости уязвимостей на основе сетевой топологии инфраструктуры.

🔹 Улучшили карточки уязвимостей: добавили оценку вероятности эксплуатации (EPSS), данные об обнаружении уязвимых систем в публичном интернете (Shodan CVEDB и тренд по регистрации хостов в Shodan; отображается в тегах, как и EPSS), рекомендации по устранению уязвимостей от НКЦКИ.

🔹 Реализовали динамические группы активов на основе заданных критериев (типа ОС, версии, наличия уязвимостей, баннеров сервисов и т.д.).

Также добавили расчёт рекомендованных сроков устранения по методике оценки уровня критичности ФСТЭК (от 30.05.2025), улучшили экспертизу (расширили BlackBox, поддержали WMI-сканы Windows, Gentoo Linux, Modbus, устройства Palo Alto Networks), переработали управление сканами и журнал сканов.

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября

Добавить комментарий

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентябряПоглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября

Поглядел, что нового появилось в новой версии Security Vision Vulnerability Scanner, вышедшей в конце сентября.

Выделил для себя:

⚖️ Поддержали обновлённую методику ФСТЭК по оценке критичности.

🃏 Существенно расширили данные в карточке уязвимостей. Добавили ссылки на бюллетени НКЦКИ, проверенные обновления ФСТЭК (Windows KB), CISA KEV, EPSS, поддержали CVSS 4.0.

🛃 Расширили аудит сетевых устройств (Cisco, Huawei, Juniper, Check Point, Fortinet и др.) по протоколам SSH и SNMP. Доработали сбор информации о ПО на устаревших системах (CentOS 6, Windows Server 2008R2 и 2012R2 и др.). Улучшили BlackBox сканирование, выделили отдельный режим Bruteforce (RDP, Radmin, NetBIOS, Sybase, PostgreSQL). Добавили возможность ставить скан на паузу или останавливать его.

📊 Улучшили работу с исключениями уязвимостей/продуктов для одного хоста или группы. Добавили диффотчёты.

И это список доработок всего за 3-4 месяца! Быстро пилят. 👍 Но нужно тестить. 😉

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

Добавить комментарий

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

Как работает детектирование уязвимостей в Security Vision VM в режиме аудит?

🔹 Инвентаризациия хостов и расчёт уязвимостей в SV VM разнесены. Поэтому можно пересчитывать уязвимости без пересканирования.

🔹 В ходе инвентаризации с хостов собираются установленные продукты различного типа (CPE, Linux, Windows).

🔹 Детектирование уязвимостей сводится к сравнению установленных и уязвимых версий продуктов. Уязвимые продукты (CPE, Windows, Linux) описаны на одноименной вкладке карточки уязвимости. Их можно редактировать. ✍️👍

В описании уязвимого продукта задают:

🛍️ Для CPE: CPE ID, версии от и до, флажки "версия включена" и "исключение".

🛍️ Для Linux: данные по ОС (имя, код, версия), имя пакета и версию с исправлением.

🛍️ Для Windows: имя продукта (в т.ч. Service Pack), версию с исправлением и исправление (?).

Cработки по одному уязвимому продукту достаточно для детекта уязвимости. Установленные и безопасные версии видны на вкладках "Результаты" и "Рекомендации".

Появились подробности по VM-решению Security Vision для SMB организаций

Добавить комментарий

Появились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организацийПоявились подробности по VM-решению Security Vision для SMB организаций

Появились подробности по VM-решению Security Vision для SMB организаций. Решение назвали Security Vision VS Basic.

🔹 В него входят модули Vulnerability Scanner, Vulnerability Management и Asset Management.

🔹 Лицензия ограничена 500 IP-адресами (варианты: 100, 250, 500). Если нужно больше, то это уже не SMB. 🙂

🔹 Решение ставится на один сервер. Есть некоторые ограничения на кастомизацию контента.

Больше никаких отличий от энтерпрайзных версий нет.

Заявлено много режимов сканирования: "белый ящик" (с агентом и без), pentest, web-сканирование, скан контейнеров (включая Kubernetes), пересчёт уязвимостей без рескана. Весьма амбициозно, но качество детектирования нужно тестить. 😉

Из интересного:

🔸 встроенная тикетница
🔸 автопатчинг
🔸 возможность использовать сторонние сканеры (MaxPatrol 8, MaxPatrol VM, Redcheck, TenableIO, TenableSC, Nessus, Qualys)

📄 Есть сертификат ФСТЭК
🎞 20-минутное демо

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline

Добавить комментарий

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline

Сканер уязвимостей Security Vision в формате коробочного решения для SMB появился в интернет-магазине Softline. Лицензии от 100 до 500 IP-адресов, стоимость от 500 000 р. до 1 500 000 р. соответственно. В поставку входят модули Asset Management, Vulnerability Scanner и Vulnerability Management (включающий интеграцию с Service Desk и автопатчинг).

У коробки есть некоторые ограничения:

"В коробочном решении пользователям доступна полная функциональность за исключением возможностей, актуальных для крупных компаний со сложной ИТ-инфраструктурой, таких как конструкторы платформы и отказоустойчивый режим функционирования."

Сертификаты ФСТЭК, ФСБ, ОАЦ есть.