Архив метки: VMprocess

Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов

Добавить комментарий

Попался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистов
Попался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистовПопался на глаза замечательный пост в паблике Типичный Сисадмин про то, как выглядит устранение уязвимостей со стороны IT-специалистов

Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов. Всем VM-щикам будет полезно почитать комменты. 😉 Как можно видеть, там обсуждают не то, как эффективнее выполнять задачи на устранение уязвимостей, а то, как лучше от них уклоняться.

Основные приёмы:

📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".

😱 Нагнетание страха простоя в случае неудачного обновления.

💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".

😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".

🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".

Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉

Вчера прочитал свою третью и заключительную лекцию "Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками" в рамках магистерской программы ИТМО

Добавить комментарий

Вчера прочитал свою третью и заключительную лекцию Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками в рамках магистерской программы ИТМО

Вчера прочитал свою третью и заключительную лекцию "Управление уязвимостями в соответствии с методическими требованиями регуляторов и лучшими практиками" в рамках магистерской программы ИТМО.

🇷🇺 Начали с разбора руководства ФСТЭК по организации процесса управления уязвимостями в органе (организации). Рассмотрели структуру, роли участников и операции. Затем перешли к методике оценки уровня критичности уязвимостей ФСТЭК (версия этого года). Подробно разобрали, как рассчитывается уровень и как он определяет сроки устранения уязвимостей. По устранению рассмотрели рекомендательный алгоритм НКЦКИ и методику тестирования обновлений ФСТЭК. Коснулись методики оценки показателя защищённости ФСТЭК и требований по управлению уязвимостями в 117 приказе ФСТЭК.

🌎 Международные best practices рассмотрели на основе PCI DSS 4.0.1. Упомянул и руководство NCSC.

👻 Закончил рассказом о реалиях VM-процесса на основе БОСПУУ и о методах саботажа со стороны IT [1, 2].

Сходили сегодня в театр на детский спектакль "Кентервильское привидение"

Добавить комментарий

Сходили сегодня в театр на детский спектакль Кентервильское привидение

Сходили сегодня в театр на детский спектакль "Кентервильское привидение". Если помните, по новелле Оскара Уайльда или советскому мультфильму, там сюжет строится на том, что американская семья приобретает замок с привидением и успешно его курощает.

Я смотрел и размышлял, что ITшник, который под различными предлогами отказывается устранять уязвимости во вверенной ему инфраструктуре, напоминает такое привидение, которое гремит цепями, зловеще завывает и рисует на полу "несмываемые" кровавые пятна. То есть уверяет всех, что обновить системы невозможно, что это приведёт к катастрофическим последствиям и что единственный вариант - оставить всё как есть. А VMщикам убираться подальше. 😉

И бороться с этим следует методами тех американцев. Не вестись: удалять пятна пятновыводителем, смазывать цепи, давать микстуру от завываний, а на запугивания запугивать в ответ. 😈

А в конце можно и помочь демотивированному привидению, когда оно будет готово принять помощь.

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Добавить комментарий

Сходили сегодня на детский спектакль Золотая антилопа, в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи. 🤴🙂

1. К продетектированным уязвимостям относись как к золоту, которого "не может быть слишком много". Стремись обладать наиболее качественными средствами детектирования, своей "золотой антилопой". 🦌🔍

2. Нормальное управление уязвимостями возможно только при наличии реальных рычагов давления, аналогичных мотивированному исполнительному палачу: "позволь я отрублю ему голову". ⚔️😈

3. Одного детектирования уязвимостей недостаточно. Необходимо инвестировать в приоритизацию и автоматизацию их устранения. Иначе "золото превратится в черепки", а уязвимости - в реальные инциденты, в результате чего ты потеряешь своё место. 💥👨‍💻

4. Никогда не принимай отказа в устранении уязвимостей. Всегда требуй поэтапный план устранения с зафиксированными дедлайнами. Если не готовы отдать буйвола, пусть отдают "ногу буйвола". 🐃😉

Прочитал вчера вторую лекцию "Детектирование известных уязвимостей" в рамках магистерской программы ИТМО

Добавить комментарий

Прочитал вчера вторую лекцию Детектирование известных уязвимостей в рамках магистерской программы ИТМО

Прочитал вчера вторую лекцию "Детектирование известных уязвимостей" в рамках магистерской программы ИТМО.

🔹 Разобрали сканирование в режиме "чёрного ящика" по версиям. Сначала показал, как это делать совсем вручную поиском по CPE на сайте NVD. Потом как получить CPE с помощью Nmap и telnet. И наконец как использовать плагин Vulners для Nmap.

🔹Сканирование в режиме "чёрного ящика" с эксплуатацией уязвимости разобрали на примере XSS уязвимости из прошлой лекции.

🔹 Сканирование с аутентификацией разобрали на примере детектирования уязвимостей пакетов Linux хоста. Как делать это вручную по бюллетеням, с помощью ручного Vulners Linux Audit и автоматических утилит Scanvus, OpenSCAP и ScanOVAL. Подробно остановились на структуре OVAL-контента.

💻 Выдал две практические работы: на детектирование / эксплуатацию уязвимости и на написание правил детектирования на языке OVAL.

В середине октября будет моя последняя лекция - про регуляторику. 😇

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М

Добавить комментарий

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М

Сегодня прочитал гостевую лекцию по Управлению Уязвимостями в СибГУ имени академика М. Ф. Решетнёва. Давненько я не делал гостевых обзорных лекций о VM-е для ВУЗов. Последний раз было года 2 назад. Структура лекции осталась +- той же: Анализ Защищённости, Управление Активами, собственно Управление Уязвимостями и Управление Обновлениями. Но содержание довольно сильно изменилось. Обновил всю статистику, добавил про проекты для offensive-практики и про CVSS v4. Переделал раздел про Методику оценки критичности уязвимостей ФСТЭК на новую версию от 30.06.2025. Раздел про использование Vulristics для приоритизации уязвимостей тоже расширил. 😉 Всего вышло 220 слайдов.

Лекция прошла отлично. Было ~26 человек. Под конец обсудили интересные вопросы про управление экспозициями и перспективы CVSS 4 в России (я надеюсь, что перспектив не будет 😉).

Большое спасибо администрации СибГУ и лично Вячеславу Золотареву за приглашение выступить! 👍 Было здорово! 🤝

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО

Добавить комментарий

Прочитал вчера первую лекцию Уязвимости и их описание в рамках магистерской программы ИТМО

Прочитал вчера первую лекцию "Уязвимости и их описание" в рамках магистерской программы ИТМО. Начал с определения уязвимости, типов уязвимостей, прошёлся по своим примерам и указал, с чем играться дальше: VulnHub с Metasploitable 1-2-3, Vulhub, OWASP Juice Shop. Эксплуатация уязвимостей не в фокусе курса, но её важно попробовать. 👾

Затем жизненный цикл уязвимости, инструменты детектирования по карте вендоров, CVE-шки, пока ещё MITRE CVE Org, NIST NVD, БДУ ФСТЭК. Чтобы понимать, какие данные есть в паблике. 🕵️‍♂️

🎯 Подробно про CVSS v3.1 и CVSS 4. Первый - для методики ФСТЭК, второй - для международки. Практическая работа по составлению CVSS векторов и сравнению их с готовыми из NVD/БДУ. Чтобы понять, как мало мы знаем про уязвимости и насколько субъективны оценки критичности. 😉

Бонусом рассказал про приоритизацию уязвимостей с помощью Vulristics по материалам последнего PHDays.

Следующая лекция через неделю - про детектирование. 😇