Архив метки: vulners

Фиды NVD и API v1.0 превратятся в тыкву через неделю

1 комментарий

Фиды NVD и API v1.0 превратятся в тыкву через неделю

Фиды NVD и API v1.0 превратятся в тыкву через неделю.

"The NVD plans to retire the remain­ing lega­cy data feeds as well as all 1.0 APIs on Decem­ber 15th."

Если ваша организация забирает уязвимости из NVD напрямую, скачивая архивчики с JSON или используя API v1.0, то всё это поломается с 15 декабря. Имеет смысл проверить и перейти на NVD API v2.0 (учитывайте rate lim­its) или другие источники данных по CVE.

Выкачивать данные по всем CVE разом было очень удобно. Можно такой экспериенс сохранить? Видятся опции:

🔹 Бесплатный неофициальный NVD CVE фид от немецкого института FKIE на GitHub. Всё как у NVD, обновления раз в 2 часа.

🔹 Бесплатный официальный CVE фид от Mitre на GitHub. Нет CPE (есть affect­ed продукты в другом формате), CWE и CVSS вендорский и не везде.

🔹 Платная коллекция данных NVD от Vul­ners, обогащённая инфой по активной эксплуатации, эксплоитам, AI Score и т.д. Требуется платный API и расширенная подписка. Про работу с коллекциями у меня был давнишний пост.

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек — нормально
01:26 Обсуждаем мемный ролик про Priv­i­lege Esca­la­tion в Cis­co IOS XE (CVE-2023–20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Cit­rix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gate­way (CVE-2023–4966) и актуальные уязвимости VMware: RCE в vCen­ter Serv­er (CVE-2023–34048) и обход аутентификации в Aria Oper­a­tions for Logs (CVE-2023–34051). Насколько в России популярны NetScaler ADC и Aria Oper­a­tions? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Mier­com выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" — сканеры детектируют не все существующие уязвимости
24:36 Vul­ners представили AI Score v2 — предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели — кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

1 комментарий

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию Eter­nal­Blue, сканирование инфры с помощью Nes­sus Essen­tials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metas­can, экспорт данных из Vul­ners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Man­age­ment (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом — приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для Vir­tu­al­Box c Nes­sus Essen­tials и Win­dows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vul­ner­a­bil­i­ty Management‑а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nes­sus Essen­tials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Ten­able и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metas­can и Vul­ners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM‑у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vul­ner­a­bil­i­ty Management‑у хороших и разных!

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей — AI Score v2

2 комментария

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2

Ребята из команды Vul­ners представили новую версию автоматической метрики для оценки критичности уязвимостей — AI Score v2. Как видно из названия, обработка данных там идёт с использованием машинного обучения, а конкретно с использованием библиотеки Cat­Boost. Анализируются связи между объектами (в Vul­ners более 3 млн. объектов), значения CVSS Base Score объектов-предков, тип объекта, текстовое описание объекта и прочее. Механизм расчёта довольно хитрый. 🤯 В итоге получается что-то вроде предсказанного CVSS Base Score.

Зачем это нужно, если уже есть CVSS на NVD или EPSS?

1. Зачастую у новых уязвимостей нет ни CVSS, ни EPSS, а приоритизацию уже надо как-то делать. AI Score есть всегда и сразу.
2. Второе мнение. Это как с врачом или юристом. Лучше не полагаться полностью на одно мнение, а сходить проконсультироваться к другому специалисту. Если будут расхождения, будет повод серьезнее покопаться.

А главное AI Score бесплатно доступен всем пользователям Vul­ners! 😉

Проекты, над которыми я сейчас размышляю

Добавить комментарий

Проекты, над которыми я сейчас размышляю. Возможно кому-то тоже захочется поучаствовать.

1. CVE Men­tions. Переводить аналитические отчёты с упоминанием CVE-идентификаторов в формализованный вид, использовать их для приоритизации уязвимостей в Vul­ris­tics.

2. Свой Vul­ner­a­bil­i­ty Feed. Анализировать все CVE/БДУ, детектировать тип уязвимости и уязвимый продукт, наличие эксплоита и факта эксплуатации вживую. Использовать фид в Vul­ris­tics.

3. Lin­ux Patch Wednes­day. Формировать ежемесячные обзоры по Lin­ux-овым уязвимостям. Написать скрипт для формирования скоупов CVE с разбивкой по месяцам.

4. ОСОКА. Система оценки критичности уязвимости на основе CVSS v3 и методики оценки критичности ФСТЭК. Расписать метрики, формулу расчета, автоматическую генерацию базовых метрик из CVSS Base v2, v3, v4.

5. Scan­vus OVAL. Добавить в Scan­vus возможность детектирования уязвимостей с использованием OVAL-контента без доступа к внешним платным API.

6. Scan­vus Dock­er. Добавить возможность детектировать уязвимости Dock­er images без запуска контейнера, только через анализ SBOM.

7. Telegram2WordPress. Написать обвязку, которая будет раскидывать посты из телеграмма в блог на Word­Press. Для упрощения навигации, улучшения индексации и на случай если Телеграмм снова начнут блокировать.

Про CVE_Prioritizer и Vulristics

Добавить комментарий

Про CVE_Prioritizer и Vulristics

Про CVE_Prioritizer и Vul­ris­tics. Несколько раз за последние месяцы натыкался на посты про CVE_Prioritizer. Но сегодня появился повод прокомментировать.

"CVE_Prioritizer is a pow­er­ful tool that helps you pri­or­i­tize vul­ner­a­bil­i­ty patch­ing by com­bin­ing CVSS, EPSS, and CISA's Known Exploit­ed Vul­ner­a­bil­i­ties. It pro­vides valu­able insights into the like­li­hood of exploita­tion and the poten­tial impact of vul­ner­a­bil­i­ties on your infor­ma­tion sys­tem."

Прикольная утилита, но, имхо, мой Vul­ris­tics приоритизирует покруче. 🙂 Он учитывает не только CVSS, EPSS и CISA KEV, но и тип уязвимости, распространенность софта, информацию об эксплоитах (из многих паков на Vul­ners) и атаках из Attack­er­sKB.

И CVE_Prioritizer, и Vul­ris­tics для каждой уязвимости в динамике выполняют запросы к внешним источникам. Только у CVE_Prioritizer таких источников только 2 и поэтому он отрабатывает быстрее. Кроме того, Vul­ris­tics каждый раз в динамике определяет наименование софта и тип уязвимости по описанию. Это медленная операция. А в случае использования Vul­ners в качестве источника, всё это ещё и стоит денег 💸 (хотя лично мне не стоит, т.к. у меня ресерчерская лицензия — спасибо ребятам из Vul­ners!❤️). Так что с помощью Vul­ris­tics достаточно удобно оценивать 100–200 уязвимостей за раз (как в MS Patch Tues­day), а оценивать больше не особо рационально. 🙁

Что с этим можно сделать? Если заранее формировать полный (и желательно бесплатный/общедоступный 😉) фид по всем уязвимостям, чтобы Vul­ris­tics строил отчёт по готовым данным, это было бы гораздо быстрее и эффективнее. В этом случае можно было бы приоритизировать уязвимости хоть для всей инфраструктуры разом. У меня есть в некоторых долгосрочных планах этим заняться. Кто хочет поучаствовать — всегда wel­come! 🙂

О стоимости одного сканирования

Добавить комментарий

О стоимости одного сканирования. Продолжая тему со сканером Яндекс Клауда. 13,2 рубля / 7,2 рубля за скан это много или мало? По сравнению с бесплатными продуктами всё что угодно будет дорого, конечно. 😏 Но вот, для сравнения, цены на API кредиты Vul­ners (один кредит — один вызов API для проверки одного Lin­ux хоста или Dock­er-образа, если не заморачиваться оптимизациями):

Basic mem­ber­ship
$475 / 300 API cred­its = $1.58 ~ 129.16 руб

Pro mem­ber­ship
$1075 / 3000 API cred­its = $0.35 ~ 28.61 руб

Advanced mem­ber­ship
$1700 / 5000 API cred­its = $0.34 ~ 27.79 руб

Получается у Яндекса как в 2–4 раза дешевле. 🙂 Но, конечно, далеко не всё определяется ценой. Нужно смотреть на реальные возможности детекта и оценивать прежде всего качество сканирования.