Архив метки: vulnerability

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

Добавить комментарий

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей. Продолжу предыдущий пост примером конкретного решения. 😉

➡️ На вход Carbon берёт данные по уязвимостям (в расширенном смысле, "экспозиции": CVE/BDU, мисконфиги, подобранные учётки и т.п.) и сетевой связности из MaxPatrol VM. ❗️Отсюда важность полноты VM-сканирования❗️ Пользователь также задаёт точки проникновения, и целевые системы.

⬅️ На выходе Carbon даёт набор потенциальных путей атаки (тысячи их!), завязанных на эксплуатацию обнаруженных уязвимостей ("экспозиций"). Причём это не условные маршруты на основе сетевой достижимости. Нет! Там полноценные сценарии с эксплуатацией RCE-уязвимостей, захватом учёток, повышением привилегий, учётом возможности подключения по легитимному протоколу и прочим. 👨‍🔬

⚖️ Пути атаки оцениваются с учётом сложности эксплуатации, длительности и количества шагов…

И только здесь начинается полноценная приоритизация уязвимостей… 😉

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program)

Добавить комментарий

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program)

Microsoft ограничили доступ китайским ИБ-компаниям к MAPP (Microsoft Active Protection Program). 👎 В рамках программы вендоры получают ранний доступ к информации об уязвимостях, которые будут исправлены в Microsoft Patch Tuesday. Иногда MS предоставляют даже PoC-и эксплоитов. 🛠

Эта информация нужна ИБ-вендорам для оперативной разработки правил детектирования и блокирования эксплуатации уязвимостей.

❓ Есть мнение, что Microsoft так наказывает китайские компании за слив информации об уязвимости SharePoint ToolShell. Но подтверждений этому нет. 🤷‍♂️

Помнится, MS зачищали MAPP от российских компаний примерно так же бездоказательно. 🌝

➡️ Если Microsoft считает российских и китайских ИБ-вендоров неблагонадежными, зачем исследователи, работающие в этих вендорах, продолжают репортить уязвимости в Microsoft? 🤔 Как по мне, эту "игру в одни ворота" 🥅 давно пора пересмотреть в сторону централизованного репортинга уязвимостей. 😉

Детектировать нужно все уязвимости!

Добавить комментарий

Детектировать нужно все уязвимости!

Детектировать нужно все уязвимости! Частенько натыкаюсь на мнение, что основательный подход к построению VM процесса, например по БОСПУУ, приведёт к тому, что продетектированных в организации уязвимостей будет слишком много, "IT с такими объёмами не справится". А раз так, то не стоит и начинать. 🫠

Мой ответ на это:

🔻 Прежде всего следует поставить вопрос, почему устранять уязвимости (~обновлять системы) является настолько мучительной задачей для IT. Скорее всего, это свидетельство архитектурных проблем, препятствующих внедрению базовых процессов кибергигиены. Невозможность устранять уязвимости - только следствие. 🌝

🔻 Выявлять нужно все уязвимости, но устранять их следует приоритизированно. В первую очередь следует устранять уязвимости, эксплуатация которых наиболее проста и выгодна злоумышленникам. А как это понять? Для этого, по-хорошему, необходимо формировать потенциальные пути атак (attack paths), производить их оценку и приоритизацию. И для этого есть решения. 😉

🔥 Лайв-канал: самые свежие VM-ные новости

Добавить комментарий

🔥 Лайв-канал: самые свежие VM-ные новости

🔥 Лайв-канал: самые свежие VM-ные новости. Вы могли заметить, что количество постов в @avleonovlive значительно возросло за последние несколько дней (было от 8 до 19 постов в день). Скорость реагирования на VM-ные новости (уязвимости, ресёрчи, дискуссии, фичи вендоров) и полнота их освещения также возросла. Уже похоже на полноценный новостной ИБ-канал а-ля Секатор. 😇

Собираюсь продолжать в том же духе. Естественно, чтобы справляться с такими объёмами, я буду пользоваться обработкой текста нейросеточками (как и другие авторы ИБ-каналов 😅🤷‍♂️🤫). Но нейросеточки уже достаточно хорошо переводят и делают выжимки, чтобы выкладывать результат можно было практически as is. Я стараюсь отлавливать ошибки и неточности при вычитке. Но если заметите - пишите в комментарии @avleonovlive или личку.

Основной канал @avleonovrus остаётся для низкочастотного постинга "ручного" контента, зачастую по материалам, выложенным ранее в @avleonovlive.

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV

Добавить комментарий

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV

Не пора ли создать систему государственного мониторинга инфраструктуры (активов и уязвимостей) аналогичную CISA BOD 23-01? Продолжу размышления о необходимости российского Реестра Известных Эксплуатабельных Уязвимостей с конкретными дедлайнами по их устранению, аналога CISA KEV. На это можно возразить: ну допустим, сроки устранения будут определены, как сделать так, чтобы в эти сроки укладывались? 🤔

Американцы решили эту проблему для инфраструктуры федеральных агентств с помощью системы, описанной в директиве CISA BOD 23-01. Я разбирал её года 1,5 назад. Она предусматривает

🔹 еженедельное обнаружение активов в инфраструктуре;

🔹 циклические двухнедельные сканы активов на уязвимости;

🔹 оперативную передачу информации об активах, уязвимостях и процессе сканирования регулятору.

Это позволяет регулятору отслеживать актуальное состояние инфраструктуры органа/организации и оперативно проводить необходимые стимуляции. 🥕

Имхо, перенимать можно практически 1 в 1. 😉

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT

Добавить комментарий

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT

Статистика по трендовым уязвимостям за 2024 год попала в годовой отчёт OIC-CERT. 🎉

🔹 Organisation of Islamic Cooperation (OIC) является самой крупной и наиболее влиятельной официальной правительственной мусульманской международной организацией. В настоящее время объединяет 57 стран с населением около 2 млрд человек. Россия тоже входит в OIC в качестве наблюдателя.

🔹 OIC-CERT - группа реагирования на компьютерные инциденты, являющаяся дочерней организацией OIC. В неё входят национальные CERT-ы 27 стран, а также 8 коммерческих организаций, среди которых Positive Technologies.

➡️ Собственно в разделе, посвящённом результатам работы Positive Technologies, и была опубликована подготовленная мной статистика по трендовым уязвимостям за 2024 год (отчёт на 67,49M, стр 229).

Весьма рад, что получилось внести небольшой вклад в повышение осведомленности о PT ESC и Positive Technologies среди национальных CERT-ов и важных decision maker-ов! 😉

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025

Добавить комментарий

Дайджест трендовых уязвимостей R-Vision В фокусе RVD за июль 2025

Дайджест трендовых уязвимостей R-Vision "В фокусе RVD" за июль 2025. R-Vision отметили 3 уязвимости:

🔹 RCE - Microsoft SharePoint Server (CVE-2025-53770). Наиболее критичная уязвимость июля. У нас тоже в дайджесте была. ✅
🔹 RCE - WinRAR (CVE-2025-6218). Эта уязвимость у нас тоже в трендовых, но пойдёт уже в сентябрьский дайжест вместе с CVE-2025-8088. ✅
🔹 SFB - Chromium (CVE-2025-6558). Тут расхождение. Мы браузерные уязвимости Chromium к трендовым не относим, т.к. все они должны (по идее) закрываться настройками автообновления браузера. ❌

❓ Уязвимость EoP - Windows Update Service (CVE-2025-48799) попала к нам в дайджест и не попала в дайджест R-Vision. Эксплоит есть - пора трендить и патчить до начала массовых атак. 😉

Дайджест добротный, хорошо структурированный. Содержит вектор атаки, пруфы вендора, описание уязвимости, статус эксплуатации, сценарии атаки, рекомендации по устранению. 👍