Прослушал второй эпизод подкаста КиберДуршлаг с Эльманом Бейбутовым. Выписал тезисы.
1. Об управлении уязвимостями должно болеть у SOCоводов, т.к. активность закрепившегося злоумышленника будет выглядеть как более-менее легитимная активность пользователя и они её не поймают.
2. Людям склонно заниматься тем, что проще. Внедрять антивирусы гораздо проще, чем VM процесс.
3. VM не панацея. Нужен контроль конфигураций и действий внутреннего напушителя, нужно реагирование, нужна экосистема.
4. SIEM для VMа позволяет актуализировать инфу об активах, VM для SIEMа позволяет подсветить активы с высокой вероятностью эксплуатации (где нужно обмазать детектами).
5. Связка VM с EDR позволяет использовать EDR в качестве агента для инвентаризации и response (погасить хост, собрать инфу на доп. расследование)
6. В VM нужно интегрировать и апсечные уязвимости, и куберовые.
7. Можно такие интеграции замутить не в экосистеме одного вендора, а из разных решений через APIшки? Можно, но сложно. Из опенсурса ещё сложнее.
8. Куда дальше? Виртуальный патчинг, автоматический патчинг, детект любых уязвимостей и везде, анализ MLем.
9. Много фидов это хорошо, т.к. они друг друга дополняют, но должна быть Threat Intelligence платформа, чтобы эффективно с ними работать.
10. Вершина эволюции VMа - автопилот. Автоматизированный Patch Management, сквозной virtual patching, построение цепочки атак и отслеживание действий злоумышленника. Реализуется в метапродуктах PT.