Solar купили Digital Security. Пишут, что для развития своего пентест-направления.
С теплотой вспоминаю пикировки ПТшников и Дсеков конца нелевых и начала десятых. 😇 И мощный старт ERPScan и Embedi. А ZeroNights! Какое значимое мероприятие было. Судя по сайту, крайний раз проводили в 2021 году.
В общем, ушла эпоха, совсем ушла…
Поздравляю всех участников сделки и желаю успешного завершения acquisition-а. 🙂
F
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
Lifting Zmiy и КУН-IP8. У Соларов вышел занимательный материал про группировку Lifting Zmiy. Группировка размещает свои сервера управления (C2) на взломанных программируемых логических контроллерах (ПЛК). В частности, на "Концентратор универсальный КУН-IP8" от компании Текон-Автоматика, предназначенном для управления лифтами.
Почему КУН-IP8:
🔻 У них прошивка на основе Linux и есть модуль загрузки и выполнения кастомных плагинов LUA-сценариев, запускаемых от root-а (даёт возможность выполнять от root-а любые bash-команды).
🔻 Их выставляют вебсервером напрямую в Интернет, зачастую с дефолтным логином/паролем админа. 🤦♂️ Больше сотни находятся Google dork-ом.
Если у вас есть железка, которая доступна из Интернет, и вы НЕ занимаетесь её харденингом/обновлением, то весьма вероятно, что её начнут использовать злоумышленники. Например, для атак на объекты КИИ. И вам потом придётся доказывать, что вас взломали и вы к этому отношения не имеете. А оно вам надо?
Разобрал заметки про эфир AM Live по Vulnerability Management-у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM-у в России. 🔥
Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:
🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".
В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:
🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM-а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я-то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management-а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM-а за последние 2 года стало проще из-за публичных инцидентов.
Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили - жаль. 😔
Ответы вендоров про отличия от конкурентов:
🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R-Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5-20 секунд на хост. Своя тикетница.
🔸 Spacebit/X-Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉
Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.
Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂
Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅
Довольно сильно изменился состав участников.
В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»
Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision
И остались представители от:
🔹 Positive Technologies
🔹 R-Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit
Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.
Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.
Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Supply Chain на SafeCode и сделал небольшой конспект.
❓SCA и Supply Chain - в чём разница?
🔹 Software Composition Analysis (SCA) - выявление и исправление известных уязвимостей (CVE)
🔹 Supply Chain - текущих проблем нет, но в будущем с кодом могут быть проблемы
📔 Стандарты
🔸 SLSA (Supply-chain Levels for Software Artifacts). 4 уровня. В основном про билды. 🫤
🔸 OWASP SCVS (Software Component Verification Standard). 6 кратких контролей. 😒
🔸 CIS SSCSG (Software Supply Chain Security Guide). 100 рекомендаций в 5 категориях. 👍
😡 Техники злодеев
🔻 Хактивизм и создание токсичных репозиториев
🔻 Starjacking
🔻 Typosquatting
🔻 Dependency Confusion
🔻 Become Maintainer
📊 Метрики для оценки опенсурсных проектов
➕ Популярность
➕ Авторский состав
➕ Активность сообщества
➕ Заинтересованность в безопасности (есть )
➖ Библиотека создана недавно
➖ Первая версия подозрительно высокая
Картинка "Средства Детектирования Уязвимостей Кода (СДУК)" в рамках проекта карты российских около-VM-ных вендоров.
Это у нас примерно соответствует SAST-ам. Извиняйте, что зачастил с картинками, но CISO Forum близко, скоро будем релизиться. 🙂 Последние драфты по САУ и СИУ выложу в следующий раз вместе, так как там мало вендоров.
Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Характеристика должна показывать почему вендор попал в категорию.
Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю. Ну или поясню почему получилось так, а не иначе. 🙂
Предыдущие картинки
- СДУИ (Инфраструктуры)
- СДУСП (Сетевого Периметра)
- СДУП (Приложений)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.