Архив метки: vulners

Фиды NVD и API v1.0 превратятся в тыкву через неделю

2 комментария

Фиды NVD и API v1.0 превратятся в тыкву через неделю

Фиды NVD и API v1.0 превратятся в тыкву через неделю.

"The NVD plans to retire the remaining legacy data feeds as well as all 1.0 APIs on December 15th."

Если ваша организация забирает уязвимости из NVD напрямую, скачивая архивчики с JSON или используя API v1.0, то всё это поломается с 15 декабря. Имеет смысл проверить и перейти на NVD API v2.0 (учитывайте rate limits) или другие источники данных по CVE.

Выкачивать данные по всем CVE разом было очень удобно. Можно такой экспериенс сохранить? Видятся опции:

🔹 Бесплатный неофициальный NVD CVE фид от немецкого института FKIE на GitHub. Всё как у NVD, обновления раз в 2 часа.

🔹 Бесплатный официальный CVE фид от Mitre на GitHub. Нет CPE (есть affected продукты в другом формате), CWE и CVSS вендорский и не везде.

🔹 Платная коллекция данных NVD от Vulners, обогащённая инфой по активной эксплуатации, эксплоитам, AI Score и т.д. Требуется платный API и расширенная подписка. Про работу с коллекциями у меня был давнишний пост.

Прожектор по ИБ, выпуск №9 (30.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №9 (30.10.2023). С небольшим опозданием записали очередной эпизод. В этот раз в основном были новости про актуальные уязвимости. Но, как мне показалось, интереснее были побочные обсуждения: про балансировщики, национальный Anti-DDoS, опасность утекших учёток от Госуслуг и лучший вариант для второго фактора.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся и смотрим статистику по просмотрам. Прошлый выпуск посмотрело больше 100 человек - нормально
01:26 Обсуждаем мемный ролик про Privilege Escalation в Cisco IOS XE (CVE-2023-20198), 30к поломанных устройств и смену импланта, чтобы затруднить детектирование
05:47 iPhone три года сливали MAC-адрес из-за дефектной функции приватности. Насколько вообще опасно, что MAC вашего устройства узнают?
10:12 Про уязвимости "Citrix Bleed" NetScaler ADC/Citrix ADC, NetScaler Gateway (CVE-2023-4966) и актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Насколько в России популярны NetScaler ADC и Aria Operations? Лев интересно рассказывает про NGINX и про балансировщики, в том числе отечественные.
14:26 Читаем блог Алексея Лукацкого из 2013 года: Кто захватит мировой рынок кибербезопасности к 2023 году? Мэтр всё предсказал!
17:21 В России создают суперантивирус с динамическим анализом трафика с оригинальным названием "Мультисканер". Здесь же обсудили и национальный Anti-DDoS.
21:55 Компания Miercom выпустила отчёт "Конкурентная Оценка Управления Уязвимостями" - сканеры детектируют не все существующие уязвимости
24:36 Vulners представили AI Score v2 - предсказание CVSS Base Score
28:28 Доступ к "Госуслугам" станет возможен только по двухэтапной аутентификации. Обсудили как злоумышленники могут взять на вас микрокредит или продать вашу квартиру через госуслуги и какой второй фактор самый лучший.
37:17 Мем недели - кресло для безопасника в каждом номере отеля
39:38 Прощание от Mr. X

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

2 комментария

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию EternalBlue, сканирование инфры с помощью Nessus Essentials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metascan, экспорт данных из Vulners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Management (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом - приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для VirtualBox c Nessus Essentials и Windows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vulnerability Management-а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nessus Essentials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Tenable и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metascan и Vulners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM-у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vulnerability Management-у хороших и разных!

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2

3 комментария

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2

Ребята из команды Vulners представили новую версию автоматической метрики для оценки критичности уязвимостей - AI Score v2. Как видно из названия, обработка данных там идёт с использованием машинного обучения, а конкретно с использованием библиотеки CatBoost. Анализируются связи между объектами (в Vulners более 3 млн. объектов), значения CVSS Base Score объектов-предков, тип объекта, текстовое описание объекта и прочее. Механизм расчёта довольно хитрый. 🤯 В итоге получается что-то вроде предсказанного CVSS Base Score.

Зачем это нужно, если уже есть CVSS на NVD или EPSS?

1. Зачастую у новых уязвимостей нет ни CVSS, ни EPSS, а приоритизацию уже надо как-то делать. AI Score есть всегда и сразу.
2. Второе мнение. Это как с врачом или юристом. Лучше не полагаться полностью на одно мнение, а сходить проконсультироваться к другому специалисту. Если будут расхождения, будет повод серьезнее покопаться.

А главное AI Score бесплатно доступен всем пользователям Vulners! 😉

Проекты, над которыми я сейчас размышляю

Добавить комментарий

Проекты, над которыми я сейчас размышляю. Возможно кому-то тоже захочется поучаствовать.

1. CVE Mentions. Переводить аналитические отчёты с упоминанием CVE-идентификаторов в формализованный вид, использовать их для приоритизации уязвимостей в Vulristics.

2. Свой Vulnerability Feed. Анализировать все CVE/БДУ, детектировать тип уязвимости и уязвимый продукт, наличие эксплоита и факта эксплуатации вживую. Использовать фид в Vulristics.

3. Linux Patch Wednesday. Формировать ежемесячные обзоры по Linux-овым уязвимостям. Написать скрипт для формирования скоупов CVE с разбивкой по месяцам.

4. ОСОКА. Система оценки критичности уязвимости на основе CVSS v3 и методики оценки критичности ФСТЭК. Расписать метрики, формулу расчета, автоматическую генерацию базовых метрик из CVSS Base v2, v3, v4.

5. Scanvus OVAL. Добавить в Scanvus возможность детектирования уязвимостей с использованием OVAL-контента без доступа к внешним платным API.

6. Scanvus Docker. Добавить возможность детектировать уязвимости Docker images без запуска контейнера, только через анализ SBOM.

7. Telegram2WordPress. Написать обвязку, которая будет раскидывать посты из телеграмма в блог на WordPress. Для упрощения навигации, улучшения индексации и на случай если Телеграмм снова начнут блокировать.

Про CVE_Prioritizer и Vulristics

Добавить комментарий

Про CVE_Prioritizer и Vulristics

Про CVE_Prioritizer и Vulristics. Несколько раз за последние месяцы натыкался на посты про CVE_Prioritizer. Но сегодня появился повод прокомментировать.

"CVE_Prioritizer is a powerful tool that helps you prioritize vulnerability patching by combining CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. It provides valuable insights into the likelihood of exploitation and the potential impact of vulnerabilities on your information system."

Прикольная утилита, но, имхо, мой Vulristics приоритизирует покруче. 🙂 Он учитывает не только CVSS, EPSS и CISA KEV, но и тип уязвимости, распространенность софта, информацию об эксплоитах (из многих паков на Vulners) и атаках из AttackersKB.

И CVE_Prioritizer, и Vulristics для каждой уязвимости в динамике выполняют запросы к внешним источникам. Только у CVE_Prioritizer таких источников только 2 и поэтому он отрабатывает быстрее. Кроме того, Vulristics каждый раз в динамике определяет наименование софта и тип уязвимости по описанию. Это медленная операция. А в случае использования Vulners в качестве источника, всё это ещё и стоит денег 💸 (хотя лично мне не стоит, т.к. у меня ресерчерская лицензия - спасибо ребятам из Vulners!❤️). Так что с помощью Vulristics достаточно удобно оценивать 100-200 уязвимостей за раз (как в MS Patch Tuesday), а оценивать больше не особо рационально. 🙁

Что с этим можно сделать? Если заранее формировать полный (и желательно бесплатный/общедоступный 😉) фид по всем уязвимостям, чтобы Vulristics строил отчёт по готовым данным, это было бы гораздо быстрее и эффективнее. В этом случае можно было бы приоритизировать уязвимости хоть для всей инфраструктуры разом. У меня есть в некоторых долгосрочных планах этим заняться. Кто хочет поучаствовать - всегда welcome! 🙂

О стоимости одного сканирования

Добавить комментарий

О стоимости одного сканирования. Продолжая тему со сканером Яндекс Клауда. 13,2 рубля / 7,2 рубля за скан это много или мало? По сравнению с бесплатными продуктами всё что угодно будет дорого, конечно. 😏 Но вот, для сравнения, цены на API кредиты Vulners (один кредит - один вызов API для проверки одного Linux хоста или Docker-образа, если не заморачиваться оптимизациями):

Basic membership
$475 / 300 API credits = $1.58 ~ 129.16 руб

Pro membership
$1075 / 3000 API credits = $0.35 ~ 28.61 руб

Advanced membership
$1700 / 5000 API credits = $0.34 ~ 27.79 руб

Получается у Яндекса как в 2-4 раза дешевле. 🙂 Но, конечно, далеко не всё определяется ценой. Нужно смотреть на реальные возможности детекта и оценивать прежде всего качество сканирования.