Архив метки: VMprocess

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу

Некорректная постановка задачи и нереалистичные ожидания со стороны клиентов приводят к ущербному Vulnerability Management процессу. Как сейчас выглядит типичное внедрение VM-процесса в организации? Клиент приходит к VM-вендору и хочет получить от него решение, которое сможет сходу детектировать 100% уязвимостей на 100% активах в его инфраструктуре со 100% достоверностью. 💊 Причём независимо от того какой треш, угар и чад кутежа творится в инфраструктуре клиента. 🤷‍♂️ Ну, не менять же инфру ради какого-то там VM-процесса, правда? 😏

И тут бы VM-вендору сказать, что нет, так не получится… Но кушать все хотят. И обычно VM-вендор делает вид, что такая постановка задачи ему вполне ок. 👌 А клиент делает вид, что у него теперь есть работающий VM-процесс, всё детектится и устраняется. 👨‍💻 Стороны держат покер-фейс, а неудобную тему качества детектирования стараются не замечать. 😐

В результате часть инфраструктуры остаётся в "слепых пятнах". И там, естественно, самое адище. 😈

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live

Добавить комментарий

Приглашаю завтра подключиться к эфирам по Управлению Уязвимостями на AM Live. Всё верно, традиционный ежегодный эфир по VM-у на AM Live раздвоился. ✌️

11:00 - Как выстроить процесс управления уязвимостями. Здесь будут представители Positive Technologies. SolidLab VMS, Security Vision, Vulns io VM, Kaspersky, R-Vision, RedCheck. Крепкий состав из основных игроков российского VM-рынка. 🛡 Модерировать будет Иван Шубин. От PT участвует Павел Попов.

15:00 - Лучшие практики Vulnerability Management. Здесь будут представители Инфосистемы Джет, Angara ASM, RebrandyCo, ScanFactory, BIZONE. Огненная смесь из EASM-вендоров, пентестреров и VM-консалтеров. 🔥 И я там тоже буду в качестве независимого эксперта. 😇 Модерировать будет Лев Палей.

Имхо, следует смотреть оба эфира. В первом ожидаю традиционную тонкую борьбу нарративов, отражающую текущие особенности предложений VM-игроков. 😏 Во втором - срыв покровов относительно реалий VM-а в российских организациях. 😉

В журнале "Information Security" вышел спецпроект по Управлению Уязвимостями с моим участием

Добавить комментарий

В журнале "Information Security" вышел спецпроект по Управлению Уязвимостями с моим участием. 🎉

🔻Цена ошибки: почему важно качественно детектировать уязвимости. Моя выстраданная статья. 🙂 Очень рад, что получилось её выпустить именно в такой манере и с такими мессаджами. 😇

🔻 Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре. Статья от Андрей Никонова из Vulns io.

🔻Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль
устранения уязвимостей. Статья от Андрея Селиванова из R-Vision.

🔻 Сканер-ВС 7 Enterprise: анализ безопасности конфигурации никогда не был таким простым. Статья от Александра Дорофеева из Эшелона.

📔 Сравнение VM-решений: Security Vision VM, Сканер-ВС 7, R-Vision VM, MaxPatrol VM, ScanFactory VM, Vulns io VM

🗣 Круглый стол про VM: VOC, ML, борьба с бэклогом ⬅️ тут участвовал 😉

📔 Сравнение ASM-решений: BIZONE CPT, F6 ASM, Start EASM, ScanFactory VM, Сканер-ВС 7

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

Посмотрел вебинар по применению BI.ZONE GRC для управления уязвимостями и комплаенсом. Очень толковое и насыщенное мероприятие. 👍

🔹 Много времени уделили управлению IT-активами как основе для всех доменов практической безопасности, включая комплаенс, защиту инфраструктуры и данных. Для эффективного учёта активов IT и ИБ необходимо действовать сообща и наращивать автоматизацию.

🔹 Говоря о VM-е Кирилл Карпиевич покритиковал цикл Gartner-а и игру IT-шников в докажи-покажи. 🔥 Я оценил. 🙂👍 Он рассказал, как СберTex использует BI.ZONE GRC для поддержания единого реестра активов, собирая в него данные из изолированных ЦОД-ов с помощью MaxPatrol VM, Kaspersky KSC и Сканер-ВС.

🔹 Андрей Шаврин рассказал, что в комплаенсе важно искать пересечение требований, а работы по внедрению начинать с аудита. С помощью BI.ZONE GRC в дочерних компаниях "МУЗ‑ТВ" автоматизировали работу с ПДН.

Сами интерфейсы GRC-системы не показали, надеюсь на live-демо в следующий раз. 😉

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.

Выступать будут:

🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.

🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.

🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.

Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂

Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте

Полный CTEM

Добавить комментарий

Полный CTEM. У Дениса Батранкова вышел пост про то, что "VM больше не спасает", но есть продвинутая альтернатива - CTEM. Я своё мнение по поводу CTEM высказал в прошлом году и оно не изменилось: это очередной бессмысленный маркетинговый термин от Gartner. Всё "новое" в CTEM-е давно реализовано в VM-решениях.

Посудите сами:

🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?

Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂

Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉

SOC и VOC на одном уровне?

Добавить комментарий

SOC и VOC на одном уровне? Как по мне, выделение Vulnerability Operation Center на одном уровне организационной структуры с Security Operation Center - неплохая идея.

Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.

В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉

Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏