Архив метки: vulnerability

Выделил 2 самых распространенных сюжета в новостях и публикациях по VM

2 комментария

Выделил 2 самых распространенных сюжета в новостях и публикациях по VM.

1. Новость про критическую уязвимость CVSS 9.9 в %Software%. Никогда так не было и вот опять. Бегите патчить, а то без нашей указки вообще не узнали бы, что у вас такая уязвимость есть. Это конечно говорит о том, что с детектом уязвимостей у вас полный швах - но об этом лучше не думать. В каталоге эксплуатабельных уязвимостей CISA обычно совсем треша не бывает. Можно просто отслеживать что там новенького добавляется и генерить новости чуть ли не автоматически (кстати идея для @avleonovnews 😏).

2. Полурекламные статьи VM вендоров с основной идеей: вам не нужно исправлять все уязвимости. А какие нужно?
* Уязвимости, на которые укажет наша нейроночка, анализирующая 100500 параметров, о которых мы вам не скажем.
* Уязвимости в софтах, которые запускаются или видны в памяти.
* Уязвимости которые укладываются в атаки, которые мы можем симулировать.
Методов много, а суть одна. Давайте лучше не будем говорить о том, что делать муторно, оценить сложно, а продавать не весело. Т.е. о методичном улучшении детектирования и выполнении требований софтверных вендоров по исправлению уязвимостей. Давайте лучше предложим клиентам серебряную пулю, которая решит (якобы) проблему с уязвимостями без особых усилий путем неполного фикса и утверждения, что этого в общем и достаточно.
При этом предлагается не думать о том достаточно ли полно и хорошо детектируются уязвимости. Типа их и так уже дофига, давайте представим, что их и достаточно, а на частные случаи с фолс-негативами закроем глаза. Также предлагается поверить, что именно тот патентованный указующий перст 👈 работает по достаточно чистым данным и достаточно выверенным алгоритмам, чтобы иметь возможность выдавать адекватные рекомендации. Так вот, пока эти wannabe nextgen штуки находятся в области дополнительной приоритизации поверх нормальных детектов и процессов исправления - я отношусь к этому вполне позитивно и даже немного участвую сам (Vulristics). Но когда бешеные маркетологи начинают делать из этой ещё одной приоритизации истину в последней инстанции, киллер-фичу, список уязвимостей единственно достойных исправления, это, имхо, непрофессионально и требует всяческого порицания. Соблазн велик конечно до такого опуститься, это же ровно то, что клиент хочет. Почти как "гарантировано похудей без диет и упражнений". Но хочется верить, что технарей из этих контор такое безответственное позиционирование тоже коробит.

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии)

1 комментарий

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Directory. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' contains a minimum number of devices, the 'first ring' roughly 1% of all endpoints in the corporate environment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed progressively, starting with the test ring and moving on to the larger sets of devices after a validation period that allows device performance monitoring and pre-update metrics comparison.
Windows Autopatch also has built-in Halt and Rollback features that will block updates from being applied to higher test rings or automatically rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defender for Endpoint (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-party все совсем не так тривиально. Patch Management все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-party в Defender for Endpoint, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.

Вопрос после моего выступления на #KasperskyCyberCamp был так-то в точку

Добавить комментарий

Вопрос после моего выступления на #KasperskyCyberCamp был так-то в точку. Про качество исходной информации по уязвимостям: CVSS, наличие и зрелость эксплоита и т.п. Мусора в NVD и других открытых источниках хватает. А если на основе неправильной информации принимать решение об обновлении, оно же неправильное может быть. Ну да, не поспоришь. Коммерческие фиды с аналогичной информацией об уязвимостях (от Kaspersky например 😏) будут лучше? Ну, возможно. Нужно щщупать, сравнивать, показывать, доказывать. 🙂 Ну и если действительно лучше, чем в NVD, то наверное было бы неплохо и в сторону сравнения с БДУ посмотреть и возможно её улучшения. 😉

Второй скриптик это реализация рекомендательного алгоритма НКЦКИ

5 комментариев

Второй скриптик это реализация рекомендательного алгоритма НКЦКИВторой скриптик это реализация рекомендательного алгоритма НКЦКИВторой скриптик это реализация рекомендательного алгоритма НКЦКИ

Второй скриптик это реализация рекомендательного алгоритма НКЦКИ. Сразу наглядно видно какие параметры нужны для принятия решение. Подаешь заполненный дикт на вход, получаешь вердикт стоит обновлять или не стоит, нужно ли повторять проверку через какое-то время или нет, а также шаг алгоритма на котором было принято итоговое решение (для отладки). Можно менять параметры и смотреть как результат меняется. На слайдах я меняю CVSS Base Score c 9 на 6, патчить все ещё надо, т.к. отказ сервиса влияет на бизнес, а СЗИ-шек для митигации не внедрено. Меняю параметр, что у нас есть СЗИ блокирующие эксплуатацию уязвимости и получаю ответ, что патчить не требуется.

Это в первую очередь мне нужно для демонстрации того какие теперь требуются дополнительные входные данные для VM процесса. Но в принципе можно и в реальных системах использовать.

В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями

Добавить комментарий

В этом эпизоде попробую возродить Security News c фокусом на Управление Уязвимостями.

Есть следующая дилема. С одной стороны создание таких обзоров требует свободного времени, которое можно было бы потратить на что-то более полезное. Например на работу над своими опенсурсными проектами или ресерчами. Действительно, если ты заинтересовался в какой-то теме, сконцентрируйся на ней и сделай эпизод только об этом. С другой стороны, есть аргументы и за новостные обзоры. Отслеживание новостей это часть нашей работы как специалистов по уязвимостям и по безопасности вообще. И желательно не только заголовков. Я обычно отслеживаю новости используя мой автоматически наполняемый канал @avleonovnews. И выглядит это так: я вижу что-то интересное в канале, копирую это в Saved Messages, чтобы потом почитать. Читаю ли я это? Ну обычно нет. Поэтому создание новостных обзоров мотивирует разбирать Saved Messages и прочитывать новостные посты. Также как создание обзоров Microsoft Patch Tuesday мотивирует меня смотреть что там происходит. В общем, кажется есть смысл сделать новый заход. Поделитесь в комментариях что вы об этом думаете. Ну и если вы хотите поучаствовать в отборе и обсуждении новостей, я тоже буду рад.

Я взял 10 новостей из Saved Messages и разделил их на 5 категорий:
1) Активные Уязвимости
2) Источники данных
3) Аналитика
4) VM вендоры пишут про Vulnerability Management
5) Девестернизация IT

Video: https://youtu.be/jgKK9ovlNFU
Video2 (for Russia): https://vk.com/video-149273431_456239095
Blogpost: https://avleonov.com/2022/07/06/vulnerability-management-news-and-publications-1/

Тут добавил комментарии на русском из черновиков и тайминг

Добавить комментарий

Тут добавил комментарии на русском из черновиков и тайминг. Все в дело 😊 https://youtu.be/jgKK9ovlNFU

Active Vulnerabilities

01:31 🔴 “CISA warns of hackers exploiting PwnKit Linux vulnerability (CVE-2021-4034)” by BleepingComputer
// Не только американцам это нужно быстро патчить.
03:14 🔴 “Atlassian Confluence OGNL Injection Remote Code Execution (RCE) Vulnerability (CVE-2022-26134)” by Qualys
// В статье Qualys приводят описание OGNL Injection, RCE Payload, Exploit POC, Exploit Analysis и Source Code Analysis. Это подробная техническая статья. Если вам интересно как такие уязвимости эксплуатируются и детектируются, посмотрите этот пост.

Data sources

05:27 🟠 “New Vulnerability Database Catalogs Cloud Security Issues” by DarkReading & Wiz
// Непонятно насколько действительно нужна отдельная база данных. Кажется это все можно было бы оформить как CVEs. Тем более, что у многих уязвимостях в этой базе уже есть CVE IDs. Но инициатива хорошая. Лишний раз доказывает, что у MITRE и NVD есть проблемы.

Analytics

07:23 🟢 “MITRE shares this year’s list of most dangerous software bugs (CWE Top 25)” by BleepingComputer
// Похоже на правду, хотя 'OS Command Injection' кажется должно быть выше. Ну и надо понимать, что CWE идентификаторы присваюваются уязвимости вручную и поэтому тут могут быть ошибки классификации. Но все равно любопытно.
09:06 🟠 “Cyberattacks via Unpatched Systems Cost Orgs More Than Phishing” by DarkReading & Tetra Defense
// Хорошее замечание в статье: "Data on successful compromises can help companies determine the most critical attack vectors to address, but it should be noted that the conclusions depend greatly on the specific incident-response firm". Но то, что MFA и патчинг это важно - не поспоришь.
11:07 🔴 “Zero-Days Aren’t Going Away Anytime Soon & What Leaders Need to Know” by DarkReading & Arctic Wolf
// Ну, в целом не попоришь. Моё мнение - пока критичные известные уязвимости на исправляются оперативно, думать о Zero-Days преждевременно. А так, это конечно в первую очередь задача SOC.

VM vendors write about Vulnerability Management

13:57 🟡 “Why We’re Getting Vulnerability Management Wrong” by DarkReading & Rezilion
// Это давнишний спор: стоит ли исправлять уязвимости в софте, который в настоящий момент не запущен? Ну и обычно на это отвечают да. Потому что никто не может гарантировать, что софт вдруг не начнет запускаться. Но если будет возможность выделить среди критичных уязвимостей уязвимости, в софте, который уже запущен или регулярно запускается, то это хороший испточник данных для дополнительной приоритизации. Почему бы и нет. Хорошо, что Rezilion это подсвечивают.
16:41 🔴 “Risk-based Remediation Powered by Patch Management in Qualys VMDR 2.0” by Qualys
// На самом деле давно было интересно что же нового в Qualys Vulnerability Management, Detection and Response. В целом, это похоже на Tenable vulnerability priority rating (VPR). Наверное и формируется примерно так же. Но про техническое подробности TruRisk надо будет искать где-то в другом месте. Я согласен с тем, что фокус VM должен быть именно на Remediation и хорошо, что Qualys продвигают эту тему. Достаточен ли объем новых фич, чтобы называть это VMDR 2.0? Пока это не кажется так. Кажется, что если бы Remediation был полностью автоматизирован для 100% хостов (что требует принципиально другого подхода к тестированию работоспособности после патча), то тогда это было бы 2.0. Но маркетологам Qualys виднее.
20:37 🟢 “Modern IT Security Teams’ Inevitable Need for Advanced Vulnerability Management” by Threatpost & Secpod
// Дается список проблем и для преодаления этих проблем нужен Advanced Vulnerability Management от Secpod. В целом, список справедливый и то, что они обращают внимание на vulnerabilities beyond CVEs кажется мне очень правильным.
22:25 de-Westernization of IT
см.выше https://avleonov.ru/2022/07/03/3-rabotaju-nad-obzorom-vulnerability-management-novo/

#VulnerabilityManagement #InformationSecurity