Архив метки: VMmap

Думаю о том, что пора бы уже обновить карту отечественных вендоров Средств Управления Уязвимостями (СУУ)

Думаю о том, что пора бы уже обновить карту отечественных вендоров Средств Управления Уязвимостями (СУУ)

Думаю о том, что пора бы уже обновить карту отечественных вендоров Средств Управления Уязвимостями (СУУ). Какие изменения напрашиваются с прошлого года:

🔹 В R-Vision VM теперь есть свои детекты уязвимостей. Значит следует добавить это решение и в категорию СДУИ.

🔹 Также в СДУИ стоит добавить SolidLab VMS.

🔹 Логотип Фродекс стоит заменить на VulnsIO для большей информативности, т.к. в основном у них этот бренд используется для VM-а.

Если есть какие-то идеи по изменениям в карте (чего-то добавить, чего-то убрать, поменять описание и т.д.), пишите, пожалуйста, в личку. 🙂

После продолжительного перерыва выпустил англоязычную видяшку и блогопост

После продолжительного перерыва выпустил англоязычную видяшку и блогопост. Разбираю там то, что произошло за последние 3 месяца. В первую очередь в плане улучшений Vulristics. Во вторую - смотрю какие были интересные уязвимости в Microsoft Patch Tuesday, Linux Patch Wednesday и из остальных. Ну и подвожу итоги 2023, а также намечаю направления работы на 2024.

Из занимательного:

🔻 Подсветил 7 уязвимостей из Microsoft Patch Tuesday, для которых за последние 3 месяца появились PoC-и/эксплоиты. Как правило это совсем не те уязвимости, на которые указывали VM-вендоры в своих обзорах. 😏
🔻 В Linux Patch Wednesday за последние 3 месяца было 90 уязвимостей с PoC-ами/эксплоитами (и это не считая тех, про которые известно, что они в активной эксплуатации). 🙈

Постараюсь по англоязычным блогопостам с видяшками вернуться в ежемесячный режим. 😇 Формат хоть и муторный, но полезный.

———

November 2023 – January 2024: New Vulristics Features, 3 Months of Microsoft Patch Tuesdays and Linux Patch Wednesdays, Year 2023 in Review

Hello everyone! It has been 3 months since the last episode. I spent most of this time improving my Vulristics project. So in this episode, let’s take a look at what’s been done.

Also, let’s take a look at the Microsoft Patch Tuesdays vulnerabilities, Linux Patch Wednesdays vulnerabilities and some other interesting vulnerabilities that have been released or updated in the last 3 months. Finally, I’d like to end this episode with a reflection on how my 2023 went and what I’d like to do in 2024.

New Vulristics Features
00:32 Vulristics JSON input and output
02:37 CPE-based vulnerable product names detection
04:16 CWE-based vulnerability type detection

3 Months of Vulnerabilities
07:03 Linux Patch Wednesday
11:22 Microsoft Patch Tuesdays
13:59 Other Vulnerabilities

16:14 About the results of 2023
18:45 What about 2024?

📘 Blogpost
🎞 VKVideo

Про итоги 2023 года

Про итоги 2023 года

Про итоги 2023 года. Для меня год был отличный, грех жаловаться. 😇 Жив, чувствую себя неплохо. С близкими тоже хорошо. Хвала Создателю за всё!

Делал довольно много интересных штук. Что-то в итоге получилось, что-то нет. Но это не беда, на следующем подходе получится. А если не получится, то тоже не беда. 🙂

Из того, что можно отметить:

1. Поменял одну основную работу (очень хорошую) на другую (даже ещё лучше). 3 месяца отработал, полёт нормальный.

2. Начал больше музицировать и даже изредка что-то выкладывать. 😊 Сидеть с укулелькой и напевать понравившиеся стихи это, наверное самое приятное занятие для меня сейчас. И результаты записи мне, несмотря на все очевидные огрехи, нравятся.

3. "Прожектор по ИБ" запустили с Львом и Максимом. Вообще не предполагал, что такое в моей жизни будет, однако уже 18 эпизодов (вместе с пилотным) записали. И всё ещё весело этим заниматься. На праздники прервёмся, а дальше, надеюсь, продолжим.

4. Vulristics хорошо продвинулся: нормальный импорт и экспорт данных, кастомный источник данных, улучшенные и быстрые детекты софта. Прям полноценный инструмент стал! Также в части кодяканья доволен Linux Patch Wednesday и экспортером в avleonov.ru. Карта VM-вендоров была не про кодяканье, но тоже здесь отмечу.

5. Telegram-канал @avleonovrus неплохо так подрос! К июлю он догнал и перегнал мой англоязычный (некогда основной, а теперь подзаброшенный) канал @avleonovcom на отметке 1741 подписчик. А к концу года ещё удвоился до 3482. 🤩 Круто! Спасибо, что читаете, лайкаете и шарите!

На следующий год ничего планировать и загадывать не буду. Пусть будет как будет. 🙂

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (1/2)

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (1/2)

Алексей Лукацкий снова поднял тему моих аббревиатур для групп VM-продуктов и привёл перечень сегментов рынка по анализу защищённости от Gartner. Задачи полностью импортозаместить гартнеровские термины у меня никогда не было и я к этому не призывал. Я хотел только карту отечественных VM-вендоров более-менее адекватную нарисовать. Но за любое упоминание и буст канала всегда спасибо! 😊 Раз на то пошло, попробовал сделать маппинг этих Gartner-овских сегментов рынка на мои группы VM-продуктов.

📌 Vulnerability Assessment (VA)

"The vulnerability assessment (VA) market is made up of vendors that provide capabilities to identify, categorize and manage vulnerabilities. These include unsecure system configurations or missing patches, as well as other security-related updates in the systems connected to the enterprise network directly, remotely or in the cloud."

Довольно "резиновый" сегмент, т.к. не определяются методы детекта, виды активов, функциональность по анализу. В моих терминах решения из этого сегмента попадут в Средства Детектирования Уязвимостей Инфраструктуры (СДУИ), если они сами детекты уязвимостей делают, или Средства Анализа Уязвимостей (САУ), если позволяют анализировать уязвимости из сторонних источников.

📌 External attack surface management (EASM)

"External attack surface management (EASM) refers to the processes, technology and managed services deployed to discover internet-facing enterprise assets and systems and associated vulnerabilities which include exposed servers, credentials, public cloud service misconfigurations, deep dark web disclosures and third-party partner software code vulnerabilities that could be exploited by adversaries."

Здесь полное соответствие Средствам Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Cyber asset attack surface management (CAASM)

"Cyber Asset Attack Surface Management (CAASM) is an emerging technology that focused on presenting a unified view of cyber assets to an IT and security team. […] In order to detect assets containing outdated software, misconfigurations, and other vulnerabilities CAASM tools use API integrations to connect with existing data sources of the organization."

Это дополнительная функциональность по учету информации об активах в Средствах Анализа Уязвимостей (САУ). Т.к. подчеркивается, что интеграция с другими системами через API, проблем с добавлением сторонних уязвимостей быть не должно.

📌 Breach and attack simulation (BAS)

"Breach and Attack Simulation (BAS) Tools enable organizations to gain a deeper understanding of security posture vulnerabilities by automating testing of threat vectors such as external and insider, lateral movement, and data exfiltration."

Если есть возможность добавлять сторонние уязвимости, то это дополнительная функциональность по построению цепочек атак в Средствах Анализа Уязвимостей (САУ), если нет, то дополнительная функциональность в Средствах Детектирования Уязвимостей Инфраструктуры (СДУИ).

📌 Vulnerability prioritization technology (VPT)

Упоминается только в одном документе как обозначение для решений, которые сами уязвимости не детектируют, но занимаются только приоритизацией. В таком описании соответствуют Средствам Анализа Уязвимостей (САУ).

📌 Penetration and testing as a service (PTaaS)

Описания на сайте Gartner-а не нашел. Всё, что я видел, сводилось к периметровым сервисам с ручной валидацией. Поэтому пока выглядит как дополнительная функциональность Средств Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Automated pentesting and red teaming (а тут аббревиатуру пока не придумали)

Описания у Gartner в свободном доступе не нашел. Если эта штука будет касаться не только периметра, но и внутренней инфраструктуры, то будет похоже на продвинутый BAS и также можно будет уложить в Средства Анализа Уязвимостей (САУ) или Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в зависимости от возможности добавлять сторонние уязвимости.

Часть 2

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (2/2)

Mаппинг сегментов рынка по анализу защищённости от Gartner на мои группы VM-продуктов (2/2)

📌 Digital risk protection service (DRPS).

"Gartner defines DRPS as “a combination of technology and services in order to protect critical digital assets and data from external threats. These solutions provide visibility into the open (surface) web, social media, dark web, and deep web sources to identify potential threats to critical assets and provide contextual information on threat actors, their tools, tactics, and processes for conducting malicious activity.”

Сейчас фактически это дополнительная функциональность Средств Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Continuous Threat Exposure Management (CTEM)

"Gartner defines CTEM as a set of processes and capabilities that enable enterprises to continually evaluate the accessibility, exposure and exploitability of their digital and physical assets.

In short, CTEM is the center that informs governance, risk and compliance (GRC) mandates. Using CTEM, you can build mature, strategic security controls with detection and response capabilities that are always aligned with the business’s risk appetite."

Честно говоря, это "exposure" меня люто бесит. Более размытого и бессмысленного термина в мире ИБ найти сложно. Когда начинают затирать про "cyber exposure" или "threat exposure", я расцениваю это как 100% признак, что вендору нечего показать и остаётся только прятаться под завесой неконкретных слов и концепций. К "Tenable - The Exposure Management Company" это также относится. Но это тема для отдельного поста. Здесь же можно сказать, что любой способ анализа уязвимостей и инфраструктуры, который они смогут придумать, вполне ляжет в Средства Анализа Уязвимостей (САУ).

В общем, при желании все эти Gartner-овские придумки можно вполне успешно по моим группам VM-продуктов разложить. Не понимаю зачем Gartner заводит по аббревиатуре чуть ли не на каждую высокоуровневую фичу. Ну если не брать вариант, что они так каждому более-менее крупному вендору-спонсору могут выдать по отдельному сегменту и нарисовать его там стопроцентным уникальным лидером. 🙂

Часть 1

Выкладываю видео своего выступления на CISO Forum про карту отечественных около-VMных вендоров

Выкладываю видео своего выступления на CISO Forum про карту отечественных около-VMных вендоров. Как я уже раньше писал, мероприятие мне в этом году очень понравилось. Но команда, которая занималась видео, что-то подкачала. 🤷‍♂️ Особенно по сравнению с прошлым годом, когда продакшен был просто восхитительный. В этом году в зале, где я выступал, снимали на одну камеру и экран, и докладчика. Без какой-либо обработки. В итоге экран со слайдами на видео практически не видно. Пришлось самому садиться и совмещать видео со слайдами. К тому же начали снимать не сразу, поэтому первые несколько минут выступления потеряли. Не попал слайд обо мне и история с чего всё началось: как я написал в телеграмм-канале про карту TAdviser, расписал вендоров, которые там были представлены, а некоторые представители VM вендоров начали мне в личку писать, что я про них забыл. И все заверте…

В целом, это всё, конечно, совсем не фатально. Главное, что заключительная часть с вопросами уцелела - они были очень крутые в этот раз. 🔥

В связи с новыми Ф.А.К.К.Т.-ами внес минорные изменения в карту отечественных около-VMных вендоров

В связи с новыми Ф.А.К.К.Т.-ами внес минорные изменения в карту отечественных около-VMных вендоров. Убрал ушедшую из России компанию Group-IB, добавил нового российского вендора F.A.C.C.T. Название СДУСП-продукта и его описание пока оставил тем же. Хотя сигналы по продуктам Group-IB противоречивые:

"Новые владельцы сохранили все контракты с российскими клиентами, а также продукты, технологии и сервисы, разработанные в стране."

"Group-IB’s proprietary Unified Risk Platform, and all relevant technologies to protect against targeted cyberattacks, data breaches, fraud, brand violations, and phishing, remain the property of Group-IB Global Private Ltd. As such, Group-IB Global Private Ltd. will have the sole right to use all of the company’s technologies that are subject to patents in Singapore, the Netherlands, and the United States of America."

Так что посмотрим как будет ситуация развиваться. 🙂 Сам факт разрешения неопределенного и двусмысленного состояния компании скорее радует.