Архив метки: VMprocess

Можно ли заниматься Управлением Уязвимостями без бюджета?

Добавить комментарий

Можно ли заниматься Управлением Уязвимостями без бюджета?

Можно ли заниматься Управлением Уязвимостями без бюджета? Ну, в принципе да. Если посмотреть на схему БОСПУУ, то там большая часть работ не требует закупки каких-либо решений. Детектирование и описание активов вы можете делать самостоятельно. Согласовывать с владельцами активов SLA на устранение уязвимостей (и, желательно, регулярный патчинг) - тоже. Заведение тасков и отслеживание их статуса не так сложно заскриптовать.

Основной затык - детектирование уязвимостей. Сложно представить себе инфраструктуру организации, для которой будет достаточно одних бесплатных утилит. Разве что там используются только Linux хосты и софт ставится только из официального репозитария. Тогда да, хватит OpenSCAP с контентом от вашего Linux-вендора. 🙂

При использовании коммерческих решений тоже будут "слепые пятна" - инсталляции софта или железа, для которых уязвимости не детектируются. Но при использовании только бесплатных утилит это будет одно сплошное "слепое пятно". 🙈

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями

Добавить комментарий

В следующую среду буду участвовать в эфире Безопасной среды Кода ИБ на тему построения процесса управления уязвимостями

В следующую среду буду участвовать в эфире "Безопасной среды" Кода ИБ на тему построения процесса управления уязвимостями. Также в качестве экспертов там будут Евгений Мельников из МегаФона и Игорь Смирнов из Alpha Systems (у меня был вчера пост про их VM-решение).

Вынесенные на обсуждение вопросы повторяют вопросы из моего недавнего интервью CISOCLUB (что, естественно, просто совпадение 😉), так что должно быть много хардкорного и болезненного про управление активами, качество детектирования, приоритизацию уязвимостей, отслеживание тасков на устранение уязвимостей и т.д.

Регистрируйтесь на сайте Код ИБ и до встречи в среду 2 октября в 12:00.

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Добавить комментарий

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов! Вместе с управлением харденингом, конфигурациями и экспозицями (весьма рад, что Александр Редчиц тоже калькирует этот термин при переводе 🙂👍).

На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять"

Добавить комментарий

На портале @CISOCLUB вышло большое интервью со мной Все об уязвимостях и как ими управлять

На портале @CISOCLUB вышло большое интервью со мной "Все об уязвимостях и как ими управлять". Знаковое событие для меня. 🥳 Фактически там всё, что я сейчас считаю важным в Vulnerability Management-е.

Подробно отвечаю на вопросы:

🔹 Что такое процесс управления уязвимостями и из каких этапов он состоит?
🔹 В чём состоят сложности при выявлении уязвимостей в современных IT-инфраструктурах?
🔹 Как понять, какие активы в организации требуется покрывать VM-ом?
🔹 В чём состоят сложности детектирования уязвимостей и как оценивать полноту/достаточность способов детектирования уязвимостей для организации?
🔹 Как оценивать и приоритизировать уязвимости и все ли их нужно устранять?
🔹 Кто и как должен определять SLA по устранению уязвимостей?
🔹 Как оценивать эффективность процесса управления уязвимостями?
🔹 Какие источники наиболее эффективны для отслеживания уязвимостей в России?

Русалочка и неудачная закупка VM-решения

Добавить комментарий

Русалочка и неудачная закупка VM-решения

Русалочка и неудачная закупка VM-решения. Ходили вчера в театр на Русалочку. По интерпретации, мягко говоря, не Дисней. 🫣 Действо максимально приближено к оригинальному тексту Андерсена. Ну, не без режиссёрских находок, конечно. Ведьма почему-то везде ходит с раком-отшельником (в прошлом тоже принцем 🤨) и делится с ним подробностями своих злодейских гешефтов. А он на это только офигивает и жалобно мычит. Жутковатая фигня. В остальном же всё близко к тексту. Финал трагический. 🤷‍♂️

Так вот, смотрел я эту постановку и думал, что Русалочка там похожа на VM-щика, который крайне неудачно закупил решение у VM-вендора (ведьмы). Спешил, повёлся на маркетинг. В итоге приобрёл пепяку, которой нестерпимо больно пользоваться. А функциональности её недостаточно для решения бизнес-задач. Ещё и вынужден помалкивать - бюджет-то слил и получается сам дурак, что недостаточно тестил решение перед закупкой. Приходится теперь превозмогать и плясать на том, что есть. 🕺

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Добавить комментарий

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей

Сегодня на вебинаре в рамках курса Positive Technologies по Vulnerability Management-у (уже третий набор ❗️) обсуждали, в том числе, и способы материальной мотивации IT-шников к устранению уязвимостей. Сразу вспомнилась мемная картиночка. 🙂 Идея-то, в целом, неплохая. Но нужно понимать, что попытка внедрения таких практик встретит всевозможное сопротивление со стороны IT. От рядовых инженера и до CIO. Они не поленятся найти те таски на устранение уязвимостей, где есть какие-то косяки: неочевидная эксплуатабельность, подозрение на false positive и т.п. И они используют эти кейсы, чтобы представить дело так: это вы недостаточно хорошо выполняете свою работу и наваливаете им бесполезные задачи! 🤷‍♂️😏

Приведите таски в порядок, подготовьте контраргументы и убедитесь, что у вас хватит административного ресурса на продавливание таких непопулярных решений. Без должной подготовки лучше в лобовые атаки не ходить. Вы же не Бессмертный (и не Неувольняемый 😉).

Взгляд на Offensive со стороны Vulnerability Management специалиста

Добавить комментарий

Взгляд на Offensive со стороны Vulnerability Management специалиста

Взгляд на Offensive со стороны Vulnerability Management специалиста. В канале Just Security вышел ролик про церемонию награждения Pentest Awards 2024 от Awillix. В ролике организаторы, жюри и победители рассуждают что это за мероприятие и для чего оно нужно - в первую очередь для нетворкинга специалистов по наступательной кибербезопасности и обмена опытом.

Я, как VM-щик, смотрю на этот движ несколько со стороны, но всегда с интересом.

🔹 Имхо, VM-щику лучше устраняться от игры в "докажи-покажи" с IT-шниками, т.к. это сжирает ресурсы необходимые для поддержания VM-процесса.

🔹 А у оффенсеров (pentest, bug bounty) суть работы как раз в "докажи-покажи" и заключается. Т.е. проломить здесь и сейчас хотя бы в одном месте.

Поэтому VM-щику обязательно нужно дружить с оффенсерами и отслеживать какие векторы популярны, эксплоиты для каких уязвимостей работают надёжно и "не шумят". Чтобы устранять такие уязвимости в первую очередь. 😉