Архив метки: VMprocess

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО

Прочитал вчера первую лекцию Уязвимости и их описание в рамках магистерской программы ИТМО

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО. Начал с определения уязвимости, типов уязвимостей, прошёлся по своим примерам и указал, с чем играться дальше: VulnHub с Metasploitable 1-2-3, Vulhub, OWASP Juice Shop. Эксплуатация уязвимостей не в фокусе курса, но её важно попробовать. 👾

Затем жизненный цикл уязвимости, инструменты детектирования по карте вендоров, CVE-шки, пока ещё MITRE CVE Org, NIST NVD, БДУ ФСТЭК. Чтобы понимать, какие данные есть в паблике. 🕵️‍♂️

🎯 Подробно про CVSS v3.1 и CVSS 4. Первый - для методики ФСТЭК, второй - для международки. Практическая работа по составлению CVSS векторов и сравнению их с готовыми из NVD/БДУ. Чтобы понять, как мало мы знаем про уязвимости и насколько субъективны оценки критичности. 😉

Бонусом рассказал про приоритизацию уязвимостей с помощью Vulristics по материалам последнего PHDays.

Следующая лекция через неделю - про детектирование. 😇

🎞 Видеозапись VM-ной дискуссии на IT ELEMENTS 2025 "Управление уязвимостями в условиях изменчивой ИТ-инфраструктуры: вызовы и стратегии"

🎞 Видеозапись VM-ной дискуссии на IT ELEMENTS 2025 "Управление уязвимостями в условиях изменчивой ИТ-инфраструктуры: вызовы и стратегии". Таймстемпы и тезисы. 🙂

00:00 Вступительное слово и представление участников

02:08 Блиц-опрос: если бы вы могли изменить одну вещь в индустрии VM, что бы это было?
Плетнев: конкурентная борьба на рынке решений VM-а. Топорков: научить VM-решения говорить на языке бизнеса. Леонов: чтобы в фокусе было качество детектирования. Исхаков: ускорение процесса закрытия уязвимостей.

06:12 Как определять между двумя VM-вендорами кто сканирует качественнее?
Леонов: по декларациям вендоров о поддержке систем и по сравнению сканов (как минимум можно попросить вендоров объяснить расхождения). Топорков: обязать вендоров отмечать возможности детектирования в БДУ?

10:51 Почему заказчики сами начинают писать VM-продукты, из-за недостаточного качества того, что есть на рынке?
Топорков: у нас под капотом коммерческий сканер, сами пишем обработку уязвимостей. Леонов: иногда написание своего сканера оправдано, т.к. нужно заточиться только на те продукты, которые используются в организации. Погребняк: новые вендоры гибкие в плане доработок.

12:40 Как выбрать VM-решение?
Исхаков: учитывайте количество фолзов. Леонов: должна быть доступна логика детектирования. Плетнев: необходима зрелость на стороне клиента, интегратор может быть предвзят.

14:08 ТОП-критерии выбора VM-решения. ТОП-1: Качество.
Плетнев: интегрируемость с IT/ИБ инструментами: SOAR, ITSM, SIEM. Топорков: поддержка отечественных решений, прозрачность базы, информация по фиксам. Исхаков: производительность, интеграции, модули сканирования WEB-а/docker/отечественного стека, интегрируемость с CI/CD, учёт упоминания в рассылках, комплаенс/мисконфиги. Топорков: BlackBox сканы. Леонов: нужно отталкиваться от инфраструктуры вашей организации и оценивать "погруженность вендора" в тему детектирования уязвимостей, должен быть API.

24:00 Необходима ли в VM-решении функциональность по Автопатчингу/Patch Management?
Исхаков: автопатчинг для небольших компаний. Леонов: автопатчинг - вредное слово, нужно полноценное решение по Patch Management (с учётом проверки патчей по методике ФСТЭК). Исхаков: хорошо бы в VM-решении видеть проверенные обновления и возможность проверять шаблоны конфигураций. Топорков: автообновление должно быть поэтапным; хотя бы подтягивать проверенные обновления со ФСТЭК.

32:35 Что делать с системами, которые не поддерживаются VM-решением?
Леонов: писать VM-вендору, смотрим поддерживающие решения, оцениваем возможность отказаться от неподдерживаемой системы, реализуем свой сканер под систему или проверяем руками. Топорков: от вендора неподдерживаемого продукта потребовать рассылку с устранёнными уязвимостями.

35:30 Как правильно приоритизировать уязвимости?
Плетнев: не только CVSS, расположение хоста, критичность хоста, расчёт риска. Топорков: оценка вендора, CISA KEV. Леонов: CISA KEV не учитывает специфику России, учитывать наличие эксплоитов и признаков публичных атак; критичность повышается внезапно; нужен exposure management и построение путей атак. Исхаков: построение путей атак - следующий уровень развития. Леонов: всю инфраструктуру нужно покрыть детектами.

43:17 Как отслеживать устранение уязвимостей?
Плетнев: лучше в единой ITSM. Топорков: не все уязвимости нужно в реальном времени отслеживать. Леонов: таски должны быть, как именно заводить - дискуссионно. Плетнев: нужно формировать культуру безопасности. Леонов: да, но не нужно играть в докажи-покажи.

51:20 Нужно ли на законодательном уровне закрепить SLA на устранение уязвимостей через обязательность методики ФСТЭК или аналог CISA KEV?
Аудитория против. Топорков: "устранение за сутки" требует уязвимости на периметре, эксплоита и т.д. Леонов: устранение не всегда патчинг.

55:15 Вопрос из зала: может не устранять уязвимости, а максимально ограничить права пользователей?
Да, стоит делать "киоск" там, где он возможен.

58:53 Унифицированный SLA на устранение уязвимостей должен быть!
Исхаков.

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО

Буду вести семестровый курс по Управлению Уязвимостями в магистратуре ИТМО. Давненько у меня не было такого волнительного начала сентября. Во-первых, доченька пошла в первый класс. 💐😇 Во-вторых, в этом учебном году стартует моя давняя задумка - семестровый университетский курс по Vulnerability Management. 🚀

VM-курс читается в рамках онлайн-магистратуры ИТМО "Кибербезопасность" - совместный проект с Positive Technologies. 🎓 Магистратура полноценная: 2 года обучения, диплом гособразца, очная форма, отсрочка.

В VM-курсе 6 лекций:

1️⃣ Уязвимости и их описание ✳️
2️⃣ Автоматизированное детектирование известных уязвимостей ✳️
3️⃣ Управление активами
4️⃣ Процесс VM в терминах РКБ
5️⃣ Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками ✳️
6️⃣ Практическая реализация процессов

Лекции со звёздочкой ✳️ читаю я, а остальные Олег Кочетов. Также будут практические и лабораторные работы. 👨‍💻😉

Детектировать нужно все уязвимости!

Детектировать нужно все уязвимости!

Детектировать нужно все уязвимости! Частенько натыкаюсь на мнение, что основательный подход к построению VM процесса, например по БОСПУУ, приведёт к тому, что продетектированных в организации уязвимостей будет слишком много, "IT с такими объёмами не справится". А раз так, то не стоит и начинать. 🫠

Мой ответ на это:

🔻 Прежде всего следует поставить вопрос, почему устранять уязвимости (~обновлять системы) является настолько мучительной задачей для IT. Скорее всего, это свидетельство архитектурных проблем, препятствующих внедрению базовых процессов кибергигиены. Невозможность устранять уязвимости - только следствие. 🌝

🔻 Выявлять нужно все уязвимости, но устранять их следует приоритизированно. В первую очередь следует устранять уязвимости, эксплуатация которых наиболее проста и выгодна злоумышленникам. А как это понять? Для этого, по-хорошему, необходимо формировать потенциальные пути атак (attack paths), производить их оценку и приоритизацию. И для этого есть решения. 😉

Коллеги из Inseca перезапускают курс по Управлению Уязвимостями

Коллеги из Inseca перезапускают курс по Управлению Уязвимостями

Коллеги из Inseca перезапускают курс по Управлению Уязвимостями. Старт 23 августа. Я тестировал этот курс в конце 2023 года, впечатления были весьма приятные. 🙂 Добротный практический курс для "вкатывания" в VM: "проводят за ручку" по всем основным шагам. 👍

Со времени моего прохождения курс значительно расширили и улучшили (в том числе и по моим рекомендациям 😇):

🔹 Процессы. Добавили урок по приоритизации устранения уязвимостей с учётом контекста инфраструктуры организации и риск ориентированным подходом, а также практическую работу "Приоритизация и построение плана устранения уязвимостей […] в типовой организации". Про подходы и инструменты приоритизации расскажет сам Александр Редчиц! 🔥👍

🔹 Продукты. Добавили урок по работе с Faraday. Для работы с Vulners.com будет доступна Ed-лицензия.

🔹 Практика. Добавили задание по поиску поддоменов, анализу DVWA и эксплуатации EoP в Windows (CVE-2017-0213).

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. 🫩 Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.

Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷‍♂️ Так почему бы не поступать так с самого начала? 😏

➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷‍♂️😈

Результаты опроса R-Vision: около 80% компаний считают качество сканирования ключевым критерием выбора VM-решений

Результаты опроса R-Vision: около 80% компаний считают качество сканирования ключевым критерием выбора VM-решений

Результаты опроса R-Vision: около 80% компаний считают качество сканирования ключевым критерием выбора VM-решений. В опросе приняли участие 83 респондента. Это были ИБ-cпециалисты различного уровня (от линейных сотрудников до CISO), работающие в компаниях разного размера (от SMB до Enterprise) и из различных отраслей (финансы, промышленность, ИТ, ГОСы, нефтегаз, ритейл, транспорт, телекомы, энергетика).

Результаты выглядят вполне адекватно:

🔹 Чем крупнее компания, тем более зрелый там VM-процесс.

🔹 Главный критерий выбора VM-решений - широкое покрытие ОС и приложений. Также важны скорость, стабильность и минимизация фолзов.

Хочется надеяться, что как можно больше VM-вендоров ознакомятся с результатами этого опроса и начнут уделять приоритетное внимание разработке правил детектирования уязвимостей и тестированию качества их работы. 🙏 То есть той базовой функциональности, без которой все остальные "высокоуровневые" фичи не имеют никакого смысла. 🤷‍♂️😉