Архив метки: VMprocess

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе

Добавить комментарий

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе

Собираем ТОП отговорок, которые слышат VM-специалисты в своей работе. В канале Positive Technologies выложили прикольные картинки по мотивам моего поста про технику саботажа VM-процесса "докажи-покажи". Приглашаю их заценить. 😇🦇

➡️ Также приглашаю поделиться в комментариях возражениями (от IT-шников, овнеров систем, бизнеса и т.д.), с которыми вы сталкиваетесь в процессе Управления Уязвимостями. За самые интересные отговорки Positive Technologies вручит призы. 😉🎁

Совместными усилиями мы соберём базу возможных возражений и научимся эффективно с ними работать. 😏

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

Добавить комментарий

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack

В проекте SecTemplates вышло обновление документов Vulnerability Management Program Pack. Цель релиза амбициозная: "предоставить все необходимые ресурсы для создания и внедрения полностью функционирующей программы Управления Уязвимостями для вашей компании".

Состав документов:

🔻 Определения Управления Уязвимостями и примеры SLA по устранению уязвимостей
🔻 Требования к репортингу уязвимостей
🔻 Чеклист для подготовки программы по работе с уязвимостями
🔻 Диаграмма процесса Управления Уязвимостями
🔻 Руководство (runbook) по Управлению Уязвимостями
🔻 Метрики управления уязвимостями

Неплохо сочетается с моим виженом по БОСПУУ, особенно в части контроля состояния задач на устранение уязвимостей. На этом в документах основной акцент. 👍 А не так как обычно: "вот вам PDCA, поприоритизируйте уязвимости, скиньте их админам и вжух - всё исправится". 🤪🪄

Разумеется, по деталям нужно вчитываться и править/дополнять, но как основа это определённо заслуживает внимания.

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

Малышарики и Управление Уязвимостями на опенсурсе

Добавить комментарий

Малышарики и Управление Уязвимостями на опенсурсе

Малышарики и Управление Уязвимостями на опенсурсе. Ходили вчера в кино на "Малышарики. День рождения". Прикольный милый фильм про родительство. По сюжету Хабенский покупает на день рождения дочки набор игрушек малышариков, приносит их в квартиру. Ожившие игрушки вылезают из коробки и путешествуют по квартире в поисках домика. С перерывами на песенки типа "у кота 4 лапы и усы как у Френка Заппы". 😅

Они забираются на стол и видят праздничный торт. Рассудив, что "крыша есть, стены есть, похоже на домик", они начинают дербанить несчастный десерт с помощью "палки-прорубалки". Через некоторое время им приходит озарение: "стойте, это же не домик, это торт". 😲😏🤷‍♂️

Частенько наблюдал в организациях похожие порывы замутить VM-решение на основе бесплатного опенсурсного проекта. С таким же результатом. Потратив кучу времени и сил на допиливание, инициаторы признавали, что довести ЭТО до юзабельного состояния невозможно и лучше выбить бюджет на коммерческое решение. 🙃

Карта, Территория и Управление Уязвимостями

Добавить комментарий

Карта, Территория и Управление Уязвимостями

Карта, Территория и Управление Уязвимостями. Известное выражение "Карта не есть территория" можно интерпретировать как то, что описание реальности не является самой реальностью.

В контексте VM-а реальность (территория) это всё множество существующих в настоящий момент уязвимостей во всём множестве программных и аппаратных средств. А базы уязвимостей, включая NVD и БДУ, это попытка эту реальность в какой-то мере отобразить (составить карту).

Эта карта неполная и искажённая. Но она позволяет хоть как-то выполнять полезную работу - детектировать и устранять уязвимости. 👨‍💻

В эту карту даже можно натыкать красных флажков, обозначив самые критичные уязвимости. 🚩 И ничего в этом плохого нет.

Плохое начинается, когда натыканные в сомнительную карту флажки выдаются за истину в последней инстанции: "устраняйте только эти 2% уязвимостей и будете в безопасности". Это то ли невероятная гордыня, то ли невежество. 🤷‍♂️ Осуждаю.

Приоритизируйте устранение уязвимостей, но устраняйте их все.

Positive Security Day 10-11 октября: что посмотреть про Vulnerability Management?

Добавить комментарий

Positive Security Day 10-11 октября: что посмотреть про Vulnerability Management?

Positive Security Day 10-11 октября: что посмотреть про Vulnerability Management? Уже завтра в кластере "Ломоносов" стартует PSDay 2024. Это главное продуктовое мероприятие Positive Technologies. Ориентировано на заказчиков, дистрибьюторов и партнеров. Расскажут о технологической и продуктовой стратегии, что было сделано за год и что появится в ближайшем будущем.

Касательно VM-а я собираюсь смотреть и комментировать следующее:

10 октября
🔻 13:30 - 14:30 (Молекула). "Новая концепция — discover & defend, detect & response". Тут должно быть про место VM-а в современной ИБ организаций.

11 октября
🔻 11:00 - 12:30 (Молекула). Большой блок про Asset Management в контексте РКБ, Vulnerbility Management и Compliance/Configuration Management (MaxPatrol VM и HCC).
🔻 13:00 - 13:30 (Физика). Ещё один блок про Asset Management, но с фокусом на задачи IT.

Также в 13:00 - 14:00 (Корпускула) пройдёт воркшоп по аудиту активов с помощью MaxPatrol.

Форд не пройдёт?

Добавить комментарий

Форд не пройдёт?

Форд не пройдёт? К посту про "платить устранителям уязвимостей только за отдых" было много комментариев. Сразу скажу, что пост был шуточным. Вопрос мотивации персонала слишком тонкий, чтобы всерьёз лезть туда с рекомендациями. 🙂

Но возражения разберу:

🔻 IT-шники будут саботировать процесс детектирования уязвимостей, подкручивая конфиги хостов. Так, чтобы сканер всегда показывал зелёненькое. Но IT-шники и сейчас могут так делать. 🤷‍♂️ И да, нужно учитывать возможность подобного саботажа.

🔻IT-шники будут просто выключать хосты. Eсли они могут так сделать без ущерба для бизнеса, то и замечательно. 👍 А если этим положат прод, то пусть решают это со своим IT-шным начальством. 😏

🔻 Алексей Лукацкий метод одобрил (❗️), но с оговоркой, что устранять нужно только 2% уязвимостей используемых в цепочках атак. Я с возможностью надёжного отделения этих мифических 2% уязвимостей традиционно НЕ соглашусь (см. Уязвимости Шрёдингера). Устранять нужно всё. 😉