Архив метки: VMprocess

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

Добавить комментарий

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом

В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.

Выступать будут:

🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.

🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.

🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.

Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂

Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.

➡️ Регистрация на сайте

Полный CTEM

Добавить комментарий

Полный CTEM

Полный CTEM. У Дениса Батранкова вышел пост про то, что "VM больше не спасает", но есть продвинутая альтернатива - CTEM. Я своё мнение по поводу CTEM высказал в прошлом году и оно не изменилось: это очередной бессмысленный маркетинговый термин от Gartner. Всё "новое" в CTEM-е давно реализовано в VM-решениях.

Посудите сами:

🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?

Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂

Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉

SOC и VOC на одном уровне?

Добавить комментарий

SOC и VOC на одном уровне?

SOC и VOC на одном уровне? Как по мне, выделение Vulnerability Operation Center на одном уровне организационной структуры с Security Operation Center - неплохая идея.

Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.

В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉

Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏

Что за зверь "Vulnerability Operation Center"?

Добавить комментарий

Что за зверь Vulnerability Operation Center?

Что за зверь "Vulnerability Operation Center"? VOC - не самый распространённый термин, но на западе встречается. Одни компании (небольшие вендоры, такие как Hackuity, Patrowl, YOGOSHA) определяют его как платформу или утилиту для управления уязвимостями, которая имеет преимущества перед "традиционными VM-решениями". Другие (сервис-провайдеры, такие как Orange Cyberdefense и Davidson), определяют VOC как структурные подразделения организаций.

Между VOC и VM примерно такая же смысловая неразбериха, как была межу SOC и SIEM. 🙂 И я склонен разрешать её аналогичным образом. VOС - структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для детектирования, приоритизации и устранения уязвимостей (с одним решением удобнее 🙂). VM-процесс может быть выстроен, например, в соответствии с "Руководством по организации процесса управления уязвимостями в органе (организации)" ФСТЭК и расширен с учётом БОСПУУ. 😉

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом

Добавить комментарий

Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей

Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!

Поздравляю всех подписчиц канала "Управление Уязвимостями и прочее" с праздником 8 марта!

Добавить комментарий

Поздравляю всех подписчиц канала Управление Уязвимостями и прочее с праздником 8 марта!

Поздравляю всех подписчиц канала "Управление Уязвимостями и прочее" с праздником 8 марта! Пусть всё у вас всегда складывается самым наилучшим образом и в рабочем, и в личном!

Со сборкой детской теплицы без какого-либо мануала, кроме двух итоговых изображений на коробке и мотивирующих надписей на китайском, более-менее справился. 😅 Очень похоже на внедрение VM-процесса. Смотришь на то, как оно у других, пытаясь разобраться в неочевидных взаимосвязях, чтобы хоть как-то это у себя повторить. И с каждым шагом у тебя всё ломается и разъезжается в самых неожиданных местах. 😫 Плюс постоянные запоздалые озарения: "а, так вот для чего нужна была эта странная штука". 💡 Жаль только, что для её установки нужно всё разбирать и заново переделывать. 😓 Обилие лишних деталек по итогу тоже несколько смущает, но в целом норм. 😅 К высадке и ведению наблюдений готовы. 🙂

Обновление хостов с прикладом: альтернативное мнение

Добавить комментарий

Обновление хостов с прикладом: альтернативное мнение

Обновление хостов с прикладом: альтернативное мнение. Пришёл комментарий от подписчика к VM-ной задачке про 2 подразделения и обновление хостов с развёрнутыми приложениями. С любезного разрешения выкладываю текст полностью. 🙂

"Имея опыт работы с обоих сторон ("общей инфры" и админа приклада — как раз того самого Postgres), хотел бы заметить следующее. Всё же обновлением ОС должна заниматься команда, которая заведует ОС и обще-инфраструктурными сервисами, крутящимися на хостах. А админы прикладного ПО — должны следить за своим ПО.

Но все вместе они — должны согласовывать свои действия.

На хосте, помимо условного постгреса, может крутиться много всякого другого. О чём "прикладные админы" могут знать, но не факт, что могут этим грамотно управлять и правильно оценить последствия обновления пакетов. Пример навскидку — на хосте наверняка будут установлены агенты систем мониторинга — как ИТ-шного, так и ИБ-шного. И передать на админов условного постгреса ответственность за обновление хоста со всем этим набором… А "прикладники" точно должны этим заниматься? 😊 Тогда как мимо линуксовых админов установка, настройка и эксплуатация всех этих дополнительных сервисов на хостах с прикладом точно не пройдёт.

По опыту банка, в котором я работал — хосты обновляли линуксовые админы, а "прикладные" — только тот приклад, который в их зоне ответственности. Пакеты, относящиеся к прикладу, ставились на hold сразу при установке приклада, и их обновление было невозможно при обновлении хоста.

Ну и само собой, обновления сначала выполнялись на тестовых средах, чтобы понять, не приедут ли какие-то обновы зависимостей, которые могут сломать приклад. Если не приедут — хост смело обновлялся отдельно, а приклад — отдельно. Если зависимости ломали приклад — либо пакеты зависимостей дополнительно замораживались, либо, если это ломало остальное обновление — обновление откладывалось до ̶л̶у̶ч̶ш̶и̶х̶ ̶в̶р̶е̶м̶ё̶н̶ тех пор, пока приклад не сможет это поддержать. В тестировании, само собой, участвовали обе команды — и "хостовая" и "прикладная". Но на проде, при использовании этой схемы, их работы по обновлению, по большей части происходили независимо."

У такой схемы, безусловно, есть свои преимущества. И она весьма удобна админам, т.к. они занимаются профильными задачками, а непонятной им фигнёй не заморачиваются. Но вот VM-щику такая совместная работа и размытие ответственности невыгодны, т.к. ему придётся частенько "тыкать палочкой" две (а возможно и более) команды, которые будут показывать друг на друга. 😑 Критичные уязвимости не будут устраняться с формулировкой "обновление отложено". А кто будет нести ответственность в случае, если уязвимость будет проэксплуатирована в течение этого "отложенного" периода непонятно. Видимо предполагается, что нести ответственность будет сам VM-щик. 😏 Так что VM-щикам топить за такую схему я бы не советовал.

Но если в организации такая схема устоялась и успешно работает, то рушить её, естественно, тоже не следует. Следует аккуратненько описывать регламенты решения спорных вопросов, чтобы всегда был однозначный крайний, на которого будет направлен пушинг. Ну и кары в случае инцидента.

В любом случае, главное, чтобы обновления ставились и уязвимости устранялись (желательно с соблюдением SLA). А как именно это происходит и чьими силами не так уж важно. 😉