Архив метки: VMprocess

Выпустил базированный трек про Vulnerability Management

Выпустил базированный трек про Vul­ner­a­bil­i­ty Man­age­ment. 🙂 Это на основе поста "На что похожа работа специалиста по Управлению Уязвимостями".

[verse]
В ИБшном департаменте есть специалист,
Чей рабочий путь опасен и тернист.
В IT, разрабах, бизнесе ему никто не рад.
Его задача изменить привычный всем расклад.

[cho­rus]
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Конкретен как сигнал "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!

[verse]
На обсуждениях патчинга стоит ажиотаж:
Скепсис, обвинения и скрытый саботаж.
"Мы обновить не можем", лукавят хитрецы.
А в случае инцидента — "мы ж не знали, не спецы".

[cho­rus]
На ропот наш ответ — "Внимание Всем"!
Это норма! Это база! Это VM! Это VM!
Включаем наш сигнал "Внимание Всем"!
Наша норма! Наша база! Это VM! Это VM!

Разобрал заметки про эфир AM Live по Vulnerability Management‑у

Разобрал заметки про эфир AM Live по Vulnerability Management-у

Разобрал заметки про эфир AM Live по Vul­ner­a­bil­i­ty Management‑у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM‑у в России. 🔥

Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:

🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷‍♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".

В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:

🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM‑а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я‑то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vul­ner­a­bil­i­ty Management‑а это Asset Man­age­ment. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM‑а за последние 2 года стало проще из-за публичных инцидентов.

Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили — жаль. 😔

Ответы вендоров про отличия от конкурентов:

🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 Solid­Lab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с reme­di­a­tion-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ». Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Lin­ux.
🔸 Secu­ri­ty Vision. "Настроенный SOAR в виде VM".
🔸 R‑Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5–20 секунд на хост. Своя тикетница.
🔸 Spacebit/X‑Config. Com­pli­ance Man­age­ment. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Pos­i­tive Technologies/MaxPatrol VM. Asset Man­age­ment, перерасчет уязвимостей без пересканирования, Com­pli­ance Man­age­ment. Подробности о новых фичах будут на PHDays. 😉

Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatch­ing), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.

Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂

Традиционный эфир на AM Live по Vulnerability Management‑у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданноТрадиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно

Традиционный эфир на AM Live по Vul­ner­a­bil­i­ty Management‑у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅

Довольно сильно изменился состав участников.

В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»

Появились новые представители от:
🔹 Solid­Lab VMS
🔹 ГК «Солар»
🔹 Secu­ri­ty Vision

И остались представители от:
🔹 Pos­i­tive Tech­nolo­gies
🔹 R‑Vision
🔹 «АЛТЭКС-СОФТ»
🔹 «Эшелон Технологии»
🔹 Spacebit

Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.

Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями
Завтра на CISO Forum будет часовая сессия по Управлению УязвимостямиЗавтра на CISO Forum будет часовая сессия по Управлению УязвимостямиЗавтра на CISO Forum будет часовая сессия по Управлению Уязвимостями

Завтра на CISO Forum будет часовая сессия по Управлению Уязвимостями. И ещё парочка релевантных докладов в сессии Практическая Безопасность. Я сам, к сожалению, в этом году на мероприятие не попадаю. Но очень радует, что всё больше российских конференций делают выделенные сессии по VM‑у. Раскачивается тема понемногу. 🙂👍

Мой ТОП‑3 докладов в VM-треке Территории Безопасности

Мой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории БезопасностиМой ТОП-3 докладов в VM-треке Территории Безопасности

Мой ТОП‑3 докладов в VM-треке Территории Безопасности. Когда будут доступны видео и слайды, планирую пересмотреть и взять в проработку. 🙂

🥉 Александр Ненахов, «Инфосистемы Джет», "Как правильно выстраивать процесс мониторинга поверхности атаки". Интересная подборка утилит и сервисов для инвентаризации периметра, поиска уязвимостей, поиска утечек учетных записей, мониторинга теневых ресурсов.

🥈 Дмитрий Евдокимов, Lun­try, "Управление уязвимостями в микросервисах и контейнерных средах". Понравилось про то, как нерадивые девопсы препятствуют детектированию уязвимостей в докер-образах и обоснование почему пакеты на нодах кубера не имеет особого смысла обновлять. 🤔

🥇 Илья Зуев, ex-Райффайзенбанк, "Инвентаризация или с чего начинается безопасность?". Крепкая заявка на детальный фреймворк по инвентаризации организаций: от периметра и IoT до юридических документов и данных. 👍 Интересно было про поиск физических закладок-малинок, мимикрирующих под сетевые устройства организации. 😱

Вышел номер журнала InformationSecurity со спецпроектом по Управлению Уязвимостями

Вышел номер журнала InformationSecurity со спецпроектом по Управлению Уязвимостями

Вышел номер журнала Infor­ma­tion­Se­cu­ri­ty со спецпроектом по Управлению Уязвимостями. Я сам в нём участия не принимал, но постараюсь на досуге почитать и покомментировать. Темы выглядят очень занимательно. 🙂

🔹 Павел Попов. Управление уязвимостями в новых реалиях: что изменилось и как перестроить процесс
🔹 Андрей Селиванов. Приоритизация – ключ к эффективному управлению уязвимостями организаций в условиях большого количества активов
🔹 Сергей Уздемир. Управление уязвимостями: ожидание, реальность, рекомендации
🔹 Александр Дорофеев. Подходы к поиску уязвимостей: хороший, плохой, злой
🔹 Владимир Тележников. Управление уязвимостями при разработке ОС Astra Lin­ux
🔹 Владимир Михайлов. Современные технологии в решениях для управления уязвимостями
🔹 Ольга Гурулева. Главное, чтобы исследователь не ушел от нас с негативной реакцией
🔹 Андрей Макаренко. Управление уязвимостями с помощью ИИ
🔹 Любовь Ермилова. Управляем поверхностью атаки: лучшие практики и подводные камни
🔹 Николай Степанов. Attack Sur­face Man­age­ment: с чего начинать управление уязвимостями
🔹 Александр Подобных. Управление уязвимостями в криптокошельках

🔸 Таблица российских решений класса Vul­ner­a­bil­i­ty Man­age­ment
🔸 Эволюция систем управления уязвимостями. Круглый стол.

Что делать VM-щику, чтобы быть эффективным?

Что делать VM-щику, чтобы быть эффективным?

Что делать VM-щику, чтобы быть эффективным? Исходя из того, что он должен выполнять в организации роль инспектора без каких-либо реальных полномочий, а коллеги из IT в основном считают, что он творит дичь. 🤔

🔻 1. Досконально знать требования и рекомендации регуляторов в части управления уязвимостями. Парадоксально, но именно это самый надёжный инструмент VM-щика и самый недооцененный. 😏 Вряд ли в организации кто-то будет разбираться в этом лучше. Кроме, возможно, методологов ИБ, но они естественные союзники и с ними проблем обычно не бывает. Конечно, не стоит постоянно потрясать выписками из регуляторики и грозить неизбежными карами. Это глупо, а главное вызывает привыкание и уменьшает эффект. Ну либо наоборот приводит к тому, что коллеги из IT начинают осознавать степень своей реальной ответственности в случае инцидента и бегут массово увольняться, чего тоже хотелось бы избежать. 😉 Поэтому лучше приберегать такие аргументы на случай серьезного конфликта. Чтобы, когда договориться по-хорошему не получается, эффектно и адресно бахнуть из всех стволов. Понимание, что такие железобетонные аргументы есть и они заранее заготовлены, даёт опору и уверенность. Это даже в качестве аутотренинга неплохо работает. "- Кто ты? — Vul­ner­a­bil­i­ty Man­age­ment специалист. — Что ты здесь делаешь? — Внедряю в организации Vul­ner­a­bil­i­ty Man­age­ment процесс согласно лучшим практикам, рекомендациям и требованиям регуляторов в целях повышения уровня защищенности организации."

🔻 2. Разбираться в уязвимостях, инструментах детектирования и эксплуатации. Этот пункт как раз ожидаем. 🙃 Раз VM-щик, то значит должен разбираться в "vul­ner­a­bil­i­ty", очевидно. Но тут важно делать акценты: а для чего? Для того чтобы самому находить цепочки атак и демонстрировать реальную эксплуатабельность уязвимостей инфраструктуры? Так это задача внутреннего пентеста/redteam‑а. Для того чтобы эффективней убеждать админов? Возможно иногда и имеет смысл, но главное не скатиться в "докажи-покажи" и исправление только тех уязвимостей, которые получается эффектно продемонстрировать. Для того чтобы детектировать все уязвимости, лучше их приоритизировать и выделять те, которые представляют наибольшую опасность для организации? Вот это пожалуй самое главное. Не теряем фокус на том, что мы здесь для того, чтобы внедрять работающий процесс детектирования и исправления уязвимостей, а остальное вторично (ещё раз см. п.1).

🔻 3. Стараться творить поменьше дичи. 🙂 Это значит, что для того, чтобы эффективно коммуницировать с админами, девопсами, разработчиками нужно и самому иметь сопоставимую квалификацию. Иначе требования сделать харденинг или установить обновления будут парироваться простым раздражённым "это невозможно сделать, у нас всё сломается". 😱 Возможно с добавлением какой-то тарабарщины из незнакомых терминов. Задача VM-щика понимать предметную область настолько, чтобы отличать, когда тебе вешают лапшу на уши, а когда за этим реально что-то есть. То есть самому быть в какой-то степени админом/девопсом/разрабом, но с расширенными знаниями в области уязвимостей систем и ИБ вообще. 😉