Архив метки: vulnerability

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus

1 комментарий

Сделал блогпост и видяшку про мой опенсурсный проект Scanvus. Проекту уже год и я этой утилитой практически каждый день пользуюсь. Но вот только сейчас дошли руки нормально попиарить это дело.

Scanvus (Simple Credentialed Authenticated Network VUlnerability Scanner) это сканер уязвимостей для Linux. Задача у него получить список пакетов и версию Linux дистрибутива, сделать запрос к внешнему API для получения уязвимостей (в данный момент только Vulners Linux API поддерживается) и отобразить продетектированные уязвимости в репорте.

Scanvus может показать уязвимости для

- локалхоста
- удаленного хоста по SSH
- docker-образа
- файла c инвентаризацией

Такая простенькая утилита, которая сильно упрощает жизнь при аудитах линуксовой инфраструктуры. Ну и кроме того это проект в рамках которого я могу реализовывать свои идеи по сканированию на уязвимости.

В эпизоде разбираю содержание отчета, как поставить и настроить утилиту, режимы сканирования, ну и размышляю о том можно сделать Scanvus совсем бесплатным (сейчас это интерфейс к платному Vulners Linux API).

Video: https://youtu.be/GOQEqdNBSOY
Video2 (for Russia): https://vk.com/video-149273431_456239100
Blogpost: https://avleonov.com/2022/09/17/scanvus---my-open-source-vulnerability-scanner-for-linux-hosts-and-docker-images/
Github: https://github.com/leonov-av/scanvus

Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо

1 комментарий

Спасибо тем, кто сегодня пришел! Несмотря на технические проблемы, вроде прошло неплохо. Почти соло-стрим получился. 🙂
Соберу ссылочки на темы, которые я упоминал.

1. Февральская конфа Tenable Security перед тем как они ушли хлопнув дверью https://www.youtube.com/watch?v=V5T3ftcFwdY
2. Пропагандистский отчет Microsoft, конец нейтральности https://avleonov.ru/2022/07/19/28-prochital-svezhij-majkrosoftovskij-report-tot-samy/
3. Мой опенсурсный проект Monreal: оценка стабильности вендоров https://avleonov.ru/2022/07/10/13-pervyj-skriptik-pozvoljaet-po-zapolnennomu-oprosni/
4. Мой опенсурсный проект Monreal: реализация алгоритма НКЦКИ https://avleonov.ru/2022/07/10/14-vtoroj-skriptik-eto-realizatsija-rekomendatelnogo/
5. Мой доклад на CISO Forum про зловредный Open Source https://www.youtube.com/watch?v=LPXg-MEamVA
6. Американские требования по проверке уязвимостей опенсурсных компонент, используемых в продуктах https://avleonov.ru/2022/08/18/75-u-alekseja-lukatskogo-segodnja-byl-interesnyj-post/
7. Конкурс ФСТЭК на систему проверку апдейтов от недружественных вендоров https://avleonov.ru/2022/08/31/92-i-snova-pro-nestabilnyh-zarubezhnyh-itib-vendorov/
8. Вот это не упоминал, но тоже в тему "Девестернизация IT" https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/
9. Доклад на PHDays, +- про то же что и сегодня было, но со слайдами https://www.youtube.com/watch?v=XbAxuikX_eE

Завтра, 8 сентября, поучаствую в проекте #ИБшныйДвиж от Код ИБ

1 комментарий

Завтра, 8 сентября, поучаствую в проекте #ИБшныйДвиж от Код ИБ. Буду рассказывать про "Vulnerability Management после февраля 2022 года".

- Почему этот год особенный для Vulnerability Management процесса
- Оценка стабильности IT/ИБ вендоров
- Как продолжать использовать и обновлять ПО от вендора, которому больше не доверяешь
- Рекомендательный алгоритм НКЦКИ
- Переход на Open Source: панацея или нет?

Прямой эфир начнется в 10:00 по Москве и пройдет в видео-чате телеграмм-канала @codeibnews. Для участия нужно подписаться на канал.

Там в очередной раз то ли поломали, то ли не поломали LastPass

1 комментарий

Там в очередной раз то ли поломали, то ли не поломали LastPass. Поэтому не грех поворчать про менеджеры паролей. Менеджер паролей штука безусловно полезная, поскольку позволяет использовать пароли достаточной длины и сложности. Однако, к популярным, даже среди безопасников, менеджерам паролей есть вопросики.

1. Это странно, если менеджер паролей проприетарный, т.к. непонятно как фактически пароли хранятся и нет ли там бекдора/универсального ключа/тайного способа делать перебор мастер-пароля очень быстро. Если инструмент популярный и понятно кто его разрабатывает и где этот кто-то живет, то в отсутствие этого всего поверить тем более сложновато.
2. Это странно, когда менеджер паролей опенсурсный, но настолько навороченный, что просмотреть его код глазами за разумное время невозможно. Чем больше сложного кода, тем выше вероятность, что там что-то есть из п.1
3. Это странно, когда менеджер паролей хранит какие-то данные в облаке вендора.

Лично я пользуюсь своим проектом Barapass, который накидал года 2 назад (подробнее в блоге 1,2). Консольный. Работает в Windows, Linux, MacOS. Команд минимум: расшифровать и использовать файлик, искать параметр в файле с последовательным копированием найденных значений в буфер, расшифровать файл в текстовый для редактирования, зашифровать текстовый файл. Честно скажу, редактировать и добавлять новые параметры не особо удобно, но в остальном вполне норм.

По умолчанию шифруется AES-ом, но можно вообще любую комбинацию из алгоритмов накинуть, хоть американских, хоть российских, хоть китайских, хоть каких. Комбинировать даже предпочтительно, т.к. вероятность того, что кто-то возьмется восстанавливать файл честно зашифрованный AES-ом и так-то не высока, а уж в вашей личной матрешке разбираться так и точно будут себе дороже. Проще расшифрованный пароль в буфере или в памяти незаметно поймать. Ну или использовать более грубые методы, от которых менеджеры паролей не защитят. 🙂

И снова про нестабильных зарубежных IT/ИБ вендоров и обновления, которые могут содержать закладки

4 комментария

И снова про нестабильных зарубежных IT/ИБ вендоров и обновления, которые могут содержать закладки.

Очень интересный конкурс на госзакупках от ФСТЭК. "Информационная инфраструктура, обеспечивающая проведение тестирования обновлений безопасности программного обеспечения, страной происхождения которого являются недружественные государства, и программного обеспечения с открытым кодом (далее — зарубежные разработчики), а также предоставление доступа государственным органам (организациям) и субъектам критической информационной инфраструктуры (далее — органы (организации)) к результатам тестирования."

Полистал ТЗ. Вроде круто и как раз в том направлении, как и хотелось. Тесты патчей от регулятора. 👍

1. Если все будет удачно, то к концу года у ФСТЭК будут первые результаты тестирования обновлений для наиболее популярных софтов, который в гос-ах используются (перечень тоже в рамках задачи нужно будет определить). А процесс будет постепенно совершенствоваться ещё 3 года.
2. Интересно, что будет разработана не только "методика проведения работ по тестированию обновлений программного обеспечения" (что логично), а также будет "разработана методология определения критичности уязвимостей программного обеспечения, для устранения которых требуется установка обновлений безопасности и проведения работ по их тестированию". 🧐Насколько я понял это затем нужно, что тестировать будут не все патчи, а только для критичных уязвимостей и только их будут рекомендовать к установке. Возможно будет что-то напоминающее рекомендательный алгоритм НКЦКИ, но это не точно.
3. Прикольно, что ещё сделают руководство по Patch Management-у для организаций. Требуют "разработку руководства по управлению обновлениями программного обеспечения в органе (организациями), в том числе включающего дифференциацию обновлений, описание процессов получения обновлений, тестирования обновлений, установку обновлений, оценку и совершенствование процесса управления обновлениями." Давно топлю за то, чтобы было больше детальных руководств по Patch & Vulnerability Management, а тут ещё и от регулятора. 🔥

Каких-то технических требований как именно должны тестировать обновления я в документе не нашел, что довольно тревожно. Но будем надеяться, на этапе приемки "методики проведения работ по тестированию обновлений программного обеспечения" к этому подойдут серьезно и ответственно. 🙂

Итак, вы решили начать разработку своего Vulnerability Management решения

2 комментария

Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 2. А может лучше специализироваться?

Первая часть зашла хорошо, так что продолжим. Если мы говорим, что полноценному VM вендору придется создавать отделы под

* поддержку разных видов таргетов (все ОС, все third-party софты для этих ОС, ERP, базы данных, разнообразнейшие сетевые устройства, любые технологии виртуализации и прочее)
* разработку конкретные фич ("пентест-сканирование" без аутентификации, визуализация и приоритизация уязвимостей и прочее)

то может лучше не замахиваться на все сразу, а взять конкретный кусочек функциональности полноценного VM-продукта и выпустить специализированное решение? Если в большом VM вендоре кусочек функциональности пилит команда из 3-4 человек, то и для стартапа команда разработчиков понадобится примерно сопоставимая. И возможно за счёт фокусирования, конечный результат будет даже лучше.

Давайте на примерах:

1. Сканирования сетевого периметра без аутентификации. Тот самый EASM. Периметр у любой организации есть. Легко продавать как облачный сервис. Хорошо и для старта, и для дальнейшего развития в облачный VM (при желании). Из решений с российскими корнями можно посмотреть Metascan, ScanFactory. Из нероссийских ImmuniWeb. У Vulners есть бета такого сервиса, можете тоже заценить. 😉
2. Детектирование уязвимостей Linux-хостов по бюллетеням. Linux-овой инфраструктуры сейчас в компаниях много, будет ещё больше. Задача более-менее подъемная. Для каждого Linux дистриба необходимо разобраться с бюллетенями безопасности, научиться корректно сравнивать версии. Инвентаризацию хостов можно делать самим, а можно оставить самим клиентам и предоставить только API для проверки. Как пример Vulners Linux API и Vulns.io VM.
3. Сканирование сетевых устройств. Linux хосты можно проверять по пакетам, Windows хосты можно проверять дополнительной функциональностью, реализуемой в антивирусах (у Kaspersky например). А что делать с устройствами на которые агента не поставишь? Тут либо полноценный VM брать, либо самим что-то писать, либо брать решение специализирующееся на сетевых устройстах. С этого начинали Газинформсервис с продуктом Efros Config Inspector. Давно их не смотрел, сейчас, судя по описанию, они стали полноценным VM решением.
4. Сканирование ERP и других систем критически важных для бизнеса. Чем сложнее ПО, тем выше вероятность, что VM-решения не будут поддерживать его в достаточной мере. Взять например SAP. Из полноценных VM решений его только MaxPatrol 8 умеет сканировать, а TOP-3 мировых VM вендора нет и им норм. Поэтому и есть ниша, для специализированных решений, например ERPScan. Пример очень эффектной фишечки в ERPScan это возможность проэксплуатировать некоторые найденные уязвимости проямо из интерфейса.
5. Приоритизация уязвимостей. Существует масса решений, которые даже не пытаются сами детектировать уязвимости, а занимаются только агррегацией уязвимостей из сторонних продуктов-сканеров и последующей их приоритизацией. Как пример Kenna Security (теперь Cisco). Можно глянуть Faraday Security, у них есть бесплатная опенсурсная версия.
6. Фиды по уязвимостям. Каждый Vulnerability Management продукт это база уязвимостей + правила детектирования. Собрать хорошую базу уязвимостей, обогащенную данными об эксплоитах (и их зрелости), малварях и признаках эксплуатации вживую совсем не просто. Тут можно отметить платные фиды Vulners, Kaspersky, Vuldb, Risk Based Security VulnDB.

Ниш в которых традиционные VM вендоры показывают себя недостаточно хорошо можно накинуть много. Конечно и продавать такие решения придется по-другому. Не получится сказать, что мы как MP8, только лучше и дешевле. Нужно будет доказать, почему клиенту полноценный VM либо совсем не нужен, либо он будет эффективно дополнен этим нишевым решением. Задачка творческая. 🙂

Если эта часть хорошо зайдет по лайкам и репостам, следующая будет про то как по-быстрому сделать (или сымитировать 😉) VM решение, собрав его из того, что есть в паблике.

Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла

Добавить комментарий

Видяшечка по мероприятию Код ИБ Безопасная Среда "Управление уязвимостями" успешно вышла. На самом деле ещё 2 дня назад, но только сейчас дошли руки посмотреть и разметить. Отдельно выделил фрагменты, где, имхо, * самое огнище 🔥. Приглашаю заценить полностью или частично. Также посмотрите мои впечатления по мероприятию, если не читали.

Часть 1
* 1:05 - 2:32 Управление мисконфигурациями и управление уязвимостями, можно ли делать в рамках одного процесса? Леонов
* 2:32 - 3:45 А уязвимость процесса это часть VM? Какая функциональность входит в VM? Можно ли отталкиваться от функциональности САЗ? Родыгин, Леонов
* 3:45 - 6:15 А есть ли устоявшаяся терминология в VM? Пример: что такое Compliance Scan? Assessment и Mitigation plan. Ермаков
6:20 - 6:38 Smart Install в Cisco это уязвимость или мисконфигруация? Хлапов
6:42 - 7:34 Vulnerability, Weakness и Misconfiguration. О доверии экспертному мнению. Кузнецов
7:53 - 9:44 Уровни уязвимостей. Мисконфигурации это уязвимости. Волчков
* 10:12 - 14:53 А всякая ли небезопасная настройка приводит к уязвимости? На примере CIS Benchmarks. Нам нужны более лучшие стандарты. Кузнецов, Волчков, Леонов, Ермаков
14:55 - 15:44 Реализуемость уязвимости для конкретной системы. Родыгин
* 16:15 - 22:37 Трендовые эксплуатируемые уязвимости. Кузнецов, Леонов, Хлапов, Ермаков, Родыгин
22:50 - 26:27 Стандарты и требования по безопасной конфигурации: регуляторные и корпоративные. Волчков
* 26:27 - 27:55 Требования по управлению уязвимостями. Методичка по управлению патчами и уязвимостями для MaxPatrol на 300 страниц. Кузнецов
28:00 - 29:30 Стоит ли вообще устранять уязвимости? Родыгин, Волчков
29:30 - 52:58 Стоит ли устранять все уязвимости? Кузнецов, Леонов, Ермаков, Волчков, Хлапов, Родыгин
* -> 29:30 - 30:33 Не стоит устранять все, фокусироваться на детекте и реагированием на действия злоумышленника. Кузнецов
* -> 30:41 - 36:16 Нужно исправлять все уязвимости, если вы доверяете вендору. Леонов. Оппонируют Ермаков, Кузнецов, Родыгин
-> 36:16 - 36:55 Уязвимости могут становиться нереализуемыми из-за изменения архитектуры. Родыгин, Кузнецов
-> 36:55 - 38:41 Нужно ли оценивать реализуемость? Родыгин - да, Кузнецов - нет
-> 38:41 - 39:47 Все патчить невозможно. Хлапов, Родыгин
* -> 39:47 - 41:15 А почему нам больно патчиться? Леонов
-> 41:30 - 42:41 Пример кейса, когда патчиться не вариант. Кузнецов
-> 42:41 - 44:06 Переконфигурирование как способ ремедиации. Волчков
-> 44:06 - 47:07 Архитектурные изменения лучше патчинга. Родыгин. Оппонирует Кузнецов
* -> 47:07 - 48:19 Комментируем результаты опроса. Леонов, Родыгин, Волчков
-> 48:50 - 50:51 Автоматическая приоритизация на основе сетевых сегментов и ассетов. Хлапов, Кузнецов
* -> 50:51 - 52:58 Патчить нужно всё, потому что хорошая качественная сетевая сегментов это иллюзия. Ермаков