Архив метки: VMnews

Вот тут Palo Alto утверждают занятное: что обычно злоумышленники начинают сканировать периметр организаций на наличие уязвимости через 15 минут после публикации CVE

1 комментарий

Вот тут Palo Alto утверждают занятное: что обычно злоумышленники начинают сканировать периметр организаций на наличие уязвимости через 15 минут после публикации CVE. Прям вот так:

"The 2022 Attack Surface Management Threat Report found that attackers typically start scanning for vulnerabilities within 15 minutes of a CVE being announced".

Как конкретно эти 15 минут получили вроде нигде не пишут. Но видимо могли засекать на ханипотах/ids попытки эксплуатации каких-то определенных уязвимостей и связали это с датой публикации уязвимости.

Пример приводят, что они через 5 дней после публикации уязвимости выпустили сигнатуру и за 10 часов насобирали две с половиной тысячи попыток эксплуатации.

"For example, Palo Alto Networks released a Threat Prevention signature for the F5 BIG-IP Authentication Bypass Vulnerability (CVE-2022-1388), and within just 10 hours, the signature triggered 2,552 times due to vulnerability scanning and active exploitation attempts".

Круто конечно, но все-таки сигнатуру выпустили далеко не сразу, так что сказать когда именно пошли зловредные сканы начались сложновато.

Но не суть. Не так важно действительно ли через 15 минут сканы начинаются или несколько позже. Факт, что злоумышленники мониторы новостной поток об уязвимостях. И факт, что они мотивированы сканить ваш периметр чаще, использовать для этого нестандартные проверки, а не только те, что есть в вашем коммерческом сканере.

И чтобы безопасникам не играть со злоумышленниками в догонялки единственный вариант это знать и контролировать свой периметр гораздо лучше, чем это может сделать любой внешний исследователь. Понимать зачем тот или иной сервис на периметре нужен. По возможности стараться минимизировать их количество. Если есть какое-то распространенное приложение или сетевое устройство на периметре, то иметь в виду, что их будут целенаправленно искать и ломать. Поэтому для таких сервисов следует отдельно мониторить бюллетени безопасности и начинать реагировать ещё до того как детекты появятся в сканерах и тем более до того как об уязвимости начнут верещать в СМИ.

Сказать-то конечно проще, чем сделать.

Вчера на Anti-Malware вышло интервью c Максимом Бронзинским

1 комментарий

Вчера на Anti-Malware вышло интервью c Максимом Бронзинским. Он руководитель направления Vulnerability Management платформы Solar MSS. Более чем годное интервью, нерекламное. Я на прошлом двухчасовом эфире на Anti-Malware как раз говорил, что неплохо было бы VM вендорам больше времени уделять методологической работе: как внедрять VM процесс, какие люди должны этим заниматься и как. И вот наметки как раз в эту сторону. Сделал небольшой конспект.

Большая опасность внедрения VM процесса, что он выродится в Vulnerability Assessment. Т.е. с детектированием уязвимостей все будет ок, а до непосредственного исправления уязвимостей не дойдет. Это происходит из-за того, что ИБ с детектированием уязвимостей справляется, а с передачей в IT на исправление нет. Важно встроиться в IT-шные процессы исправления. Для этого нужно общаться с IT, доносить до них информацию об исправлении уязвимостей в наиболее конкретной и доступной форме.

Какие роли/квалификации есть в Vulnerability Management процессе со стороны ИБ:

1. Инженер
- Отвечает за инвентаризацию активов, стремится к максимальному охвату активов VM процессом.
- Правильно настраивает сканирование, стремится к тому, чтобы мы имели полную актуальную информацию об уязвимостях активов.

2. Аналитик
- Описывает, категоризирует, приоритизирует уязвимостей.
- Составляет плана на устранение уязвимостей (собирает несколько мнений, делает вывод на основе экспертности – это сложнее чем выгрузить TOP 50 уязвимостей из сканера).
- Подготавливает отчеты
-- Отчет для Бизнеса отражающий угрозы процессам.
-- Отчет для IT, критерии: понятность, удобность (в т.ч. машиночитаемость), решение о приоритизации.

Рекомендации к внедрению в организации:

- Защищать сразу ТОЛЬКО самые критичные хосты неправильно, пропускаем точки, где злоумышленник может закрепиться.
- Защищать сразу все не получится, т.к. будет слишком сложно добавиться исправления.
- Рекомендуется заходить постепенно, начиная с критических хостов; затем постепенно ужесточать SLA.
- Необходимо отслеживать сколько уязвимостей IT готовы взять в работу (в зависимости от типа уязвимых хостов) с согласованным SLA (в зависимости от типа и критичности уязвимости) и вгружать в IT правильный объем работы.

Рекомендации для продажи VM-процесса бизнесу:

- Бизнесу рекомендуется показать потенциальные потери от успешной атаки в деньгах.
- Можно рассказать, что VM это фундамент ИБ. "Лечить зуб правильнее, чем пить обезболивающее" (например, использовать WAF вместо исправления уязвимости).

Аутсорсить VM можно, но нельзя отдавать функцию принятия решения об исправлении, т.к. из организации это видно всегда лучше.

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают

6 комментариев

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают. Я обычно такие темы избегаю, но тут уж никак.

1. Большая часть репорта это какая-то вода и хайли-лайкли. Читать скучно. Больше половины вообще не про атаки, а про пропаганду, в том числе какие-то странные исторические экскурсы.
2. С другой стороны тут важно не то, что написано, а то кем написано. Это не мейнстримное медиа, не NSA, не CIA, это Microsoft - глобальный IT вендор, который должен по идее быть более-менее нейтральным. И вот они теперь такие репорты выдают! Если думаете, что Microsoft негосударственный и чисто про бизнес, полистайте этот репорт. Это позиция официальнее некуда, там вступление текущим президентом Microsoft написано.
3. Из более-менее интересного по технике я увидел только то, что гос. инфру перенесли в облако и технологии MS (Defender for Endpoint?) использовали для защиты. Чуть менее чем вся техническая сторона на 9-ой странице репорта.
4. Там пишут про две важных опции безопасности. Первая это то, что Microsoft запилил им бесплатный Vulnerability Management. "The first has been the use of technology acquired from RiskIQ that identifies and maps organizational attack surfaces, including devices that are unpatched against known vulnerabilities and therefore are the most susceptible to attack." Не вполне понятно как именно это сделали. Как вариант могли просто к Defender for Endpoint подключить. Но может каким-то другим образом массово активировали сбор данных с хостов.
5. На то, что собирали именно какими-то нестандартными методами намекает вторая опция безопасности: "MSTIC recognized that XXX malware could be mitigated meaningfully by turning on a feature in Microsoft Defender called controlled folder access. This typically would require that IT administrators access devices across their organization, work made more difficult and potentially even dangerous in XXX conditions. The XXX government therefore authorized Microsoft through special legal measures to act proactively and remotely to turn on this feature across devices throughout the government and across the country." И тут не так важно, что настроили контроль доступа к папкам, а то как это сделали. Оказывается MS могут массово удаленно подкручивать опции безопасности, если правительство сопредельной страны им это разрешило. Ну надо же. А что ещё могут и где?
6. Основная озабоченность конечно в том, что продукты Microsoft, в том числе облачные средства безопасности, широко используются в российских организациях. Такие публикации подтверждают, что Microsoft вендор крайне ангажированный, нестабильный и нужно спешно с этим что-то делать.

Выделил 2 самых распространенных сюжета в новостях и публикациях по VM

1 комментарий

Выделил 2 самых распространенных сюжета в новостях и публикациях по VM.

1. Новость про критическую уязвимость CVSS 9.9 в %Software%. Никогда так не было и вот опять. Бегите патчить, а то без нашей указки вообще не узнали бы, что у вас такая уязвимость есть. Это конечно говорит о том, что с детектом уязвимостей у вас полный швах - но об этом лучше не думать. В каталоге эксплуатабельных уязвимостей CISA обычно совсем треша не бывает. Можно просто отслеживать что там новенького добавляется и генерить новости чуть ли не автоматически (кстати идея для @avleonovnews 😏).

2. Полурекламные статьи VM вендоров с основной идеей: вам не нужно исправлять все уязвимости. А какие нужно?
* Уязвимости, на которые укажет наша нейроночка, анализирующая 100500 параметров, о которых мы вам не скажем.
* Уязвимости в софтах, которые запускаются или видны в памяти.
* Уязвимости которые укладываются в атаки, которые мы можем симулировать.
Методов много, а суть одна. Давайте лучше не будем говорить о том, что делать муторно, оценить сложно, а продавать не весело. Т.е. о методичном улучшении детектирования и выполнении требований софтверных вендоров по исправлению уязвимостей. Давайте лучше предложим клиентам серебряную пулю, которая решит (якобы) проблему с уязвимостями без особых усилий путем неполного фикса и утверждения, что этого в общем и достаточно.
При этом предлагается не думать о том достаточно ли полно и хорошо детектируются уязвимости. Типа их и так уже дофига, давайте представим, что их и достаточно, а на частные случаи с фолс-негативами закроем глаза. Также предлагается поверить, что именно тот патентованный указующий перст 👈 работает по достаточно чистым данным и достаточно выверенным алгоритмам, чтобы иметь возможность выдавать адекватные рекомендации. Так вот, пока эти wannabe nextgen штуки находятся в области дополнительной приоритизации поверх нормальных детектов и процессов исправления - я отношусь к этому вполне позитивно и даже немного участвую сам (Vulristics). Но когда бешеные маркетологи начинают делать из этой ещё одной приоритизации истину в последней инстанции, киллер-фичу, список уязвимостей единственно достойных исправления, это, имхо, непрофессионально и требует всяческого порицания. Соблазн велик конечно до такого опуститься, это же ровно то, что клиент хочет. Почти как "гарантировано похудей без диет и упражнений". Но хочется верить, что технарей из этих контор такое безответственное позиционирование тоже коробит.

Tenable представили Nessus Expert

Добавить комментарий

Tenable представили Nessus Expert

Tenable представили Nessus Expert. Типа есть у них Nessus Professional, а теперь ещё будет Nessus Expert с новыми фичами:

1) Infrastructure as Code Scanning. По сути прикрутили купленный в этом году Terrascan к Nessus. Пока настолько халтурно, что это прям отдельная независимая вкладка в меню и отчет в GUI нельзя посмотреть, только в Json выгрузить.
2) External attack surface scanning. Это прикрутили из купленного в этом году Bit Discovery. Можно запустить скан, который поищет субдомены для домена. Но только для 5 доменов в квартал, если больше, то нужно докупать. Не сказать, что какая-то эксклюзивная фича. Результаты посмотреть в GUI можно, но это и все, какой-то синергии с привычной функциональностью Nessus не прослеживается.

В пресс-релизе вспоминают как Дерайсон первый Nessus писал 24 года назад. Можно точно сказать, что при нем, а тем более при Роне Гуле таких рыхлых релизов с прикрученной синей изолентой свежекупленной функциональностью не было. Тем более в качестве нового продукта. Грусть-печаль-маркетинг. Будем наблюдать, возможно со временем будет лучше.

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии)

1 комментарий

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Directory. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' contains a minimum number of devices, the 'first ring' roughly 1% of all endpoints in the corporate environment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed progressively, starting with the test ring and moving on to the larger sets of devices after a validation period that allows device performance monitoring and pre-update metrics comparison.
Windows Autopatch also has built-in Halt and Rollback features that will block updates from being applied to higher test rings or automatically rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defender for Endpoint (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-party все совсем не так тривиально. Patch Management все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-party в Defender for Endpoint, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.

В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями

Добавить комментарий

В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями.

Есть следующая дилема. С одной стороны создание таких обзоров требует свободного времени, которое можно было бы потратить на что-то более полезное. Например на работу над своими опенсурсными проектами или ресерчами. Действительно, если ты заинтересовался в какой-то теме, сконцентрируйся на ней и сделай эпизод только об этом. С другой стороны, есть аргументы и за новостные обзоры. Отслеживание новостей это часть нашей работы как специалистов по уязвимостям и по безопасности вообще. И желательно не только заголовков. Я обычно отслеживаю новости используя мой автоматически наполняемый канал @avleonovnews. И выглядит это так: я вижу что-то интересное в канале, копирую это в Saved Messages, чтобы потом почитать. Читаю ли я это? Ну обычно нет. Поэтому создание новостных обзоров мотивирует разбирать Saved Messages и прочитывать новостные посты. Также как создание обзоров Microsoft Patch Tuesday мотивирует меня смотреть что там происходит. В общем, кажется есть смысл сделать новый заход. Поделитесь в комментариях что вы об этом думаете. Ну и если вы хотите поучаствовать в отборе и обсуждении новостей, я тоже буду рад.

Я взял 10 новостей из Saved Messages и разделил их на 5 категорий:
1) Активные Уязвимости
2) Источники данных
3) Аналитика
4) VM вендоры пишут про Vulnerability Management
5) Девестернизация IT

Video: https://youtu.be/jgKK9ovlNFU
Video2 (for Russia): https://vk.com/video-149273431_456239095
Blogpost: https://avleonov.com/2022/07/06/vulnerability-management-news-and-publications-1/