Архив метки: vulners

Итак, вы решили начать разработку своего Vulnerability Management решения

2 комментария

Итак, вы решили начать разработку своего Vulnerability Management решения. Часть 3. На чем можно срезать углы?

Подводные камни подсветили, специализаций коснулись. В этой завершающей части посмотрим как можно быстро слепить VM-решение из того, что есть в паблике:

1. Весьма соблазнительно взять опенсурсный сканер и, несколько доработав его, начать продавать как коммерческий продукт или сервис. Например, взять OpenVAS/GVM, Nuclei, Nmap. Однако следует понимать, что вместе с наработками придется брать в нагрузку и немалое легаси. И возможно реализовать какую-то конкретную функциональность с нуля было бы проще, чем поддерживать форк проекта с историей. Кроме того за успешным опенсурсным сканером, как правило, стоит коммерческая компания, которая этот проект уже монетизирует и конкурентам не рада. Стоит ожидать, что вам будут вставлять палки в колеса, например через хитрое лицензирование (Nmap) или ограничение бесплатного публичного фида с детектами (OpenVAS/GVM). И тут уж как впишитесь.
2. Часто для того, чтобы по-быстрому добавить детектирование уязвимостей реализуют такую схему: детектирование CPE идентификатора установленного софта и поиск уязвимостей в базе NVD. Просто, быстро, универсально. Но далеко не всегда достоверно, т.к. ошибки могут быть и при детектировании CPE, и описании уязвимой конфигурации в NVD. Да и не всё всегда определяется версиями софта, свою роль могут играть патчи и их перекрытия. Продемонстрировать как такая схема работает можно на примере Nmap + Vulners plugin. Nmap тут отвечает за детект CPE, а Vulners за поиск по NVD.
3. Отдельная большая тема это SCAP/OVAL. Если кратко, то это набор открытых спецификаций для описания уязвимостей/мисконфигураций и того как их по этому описанию детектировать. Есть много бесплатного публичного контента: репозиторий CIS, DISA STIGs, профили PCI DSS от OpenSCAP, Windows уязвимости в коненте от ФСТЭК/АЛТЭКС-СОФТ, вендорский контент для Ubuntu, Debian, RHEL. Есть как минимум один опенсурсный SCAP/OVAL сканер, который все ещё развивается, это OpenSCAP от RedHat. Есть старые заброшенные проекты ovaldi и jovaldi. C открытыми SCAP/OVAL сканерами под Windows все традиционно тяжко, OpenSCAP в этом направлении шел, но не так давно под Windows его перестали поддерживать. Следует отметить, что продвигается эта тема в первую очередь американцами для контроля безопасности их государственной инфры (для военных и федеральных агентств в основном). Чуть менее чем все вакансии по SCAP/OVAL открываются в США и требуют американское гражданство и clearance, что намекает. 😉 Также они навязывают VM-вендорам поддерживать SCAP/OVAL, что те и делают, кто-то более формально, кто-то менее. В общем, есть соблазн в это дело крепко влезть, чтобы реюзнуть наработки. И есть как минимум одна success story у кого это получилось - RedCheck от АЛТЭКС-СОФТ. Также можно привести в пример индийскую компанию Secpod. Из минусов - спецификации там не особо простые и удобные, делать всё строго по ним достаточно тяжко, особенно реализовывать нестандартные проверки для нестандартных систем.

На этом мини-цикл про разработку VM я заканчиваю, но тему сканероделания конечно не оставляю. Дальше как раз планирую в очередной раз погружаться в SCAP/OVAL, следующий плановый эпизод будет про детектирование уязвимостей с помощью OpenSCAP.

О национальных базах уязвимостей, в частности китайских

1 комментарий

О национальных базах уязвимостей, в частности китайскихО национальных базах уязвимостей, в частности китайских

О национальных базах уязвимостей, в частности китайских.

В Китае две основные государственные базы уязвимостей:

- https://www.cnnvd.org.cn/ Chinese National Vulnerability Database поддерживается China Information Security Evaluation Center
- https://www.cnvd.org.cn/ China National Vulnerability Database поддерживается National Computer Network Emergency Technical Handling Coordination Center, CNCERT/CC, подразделение Ministry of Industry and Information Technology

Зачем вообще нужны национальные базы уязвимостей, когда есть NVD? Обычно такие базы создаются при гос. органе, который, кроме прочего, должен предупреждать компании и организации о появлении опасных уязвимостей требующих оперативного исправления. Чтобы это делать нужна как минимум страница с профилем уязвимости. Делать это ссылкой на американскую базу мало того, что довольно унизительно, но ещё и ненадежно. Сегодня NVD публично доступна, а завтра, например, ограничат доступ по IP или даже сделают хитрую закрытую регистрацию. Тогда что? А они могут. Или если появилась информация о новой уязвимости в софте, который в западном мире вообще не представлен, то получается нужно в обязательном порядке репортить её в MITRE/NVD и ждать пока они добавят (если вообще добавят)? Тоже как-то не очень. Опять же данные в NVD дополнительными полями не расширишь, в случае каких-то выявленных проблем в описании по-быстрому не поправишь. Зависимость.

В общем, даже если национальная база уязвимостей это буквальный клон NVD, все равно её существование видится вполне оправданным. При условии конечно, что её наполнение не хуже, чем NVD. Обеспечивать это пока NVD публично доступна, дело довольно простое. Дергаешь фиды и раскладываешь их к себе. А если NVD вдруг перестанет быть доступной публично, то и статус её в мире довольно оперативно изменится. А если же национальная база лучше по наполнению (по количеству уязвимостей, их описанию или поддержке продуктов), то и тем более оправдано.

Единственная сложность в том, что национальные базы уязвимостей обычно ведутся на национальных же языках. Ну, имеют право. Но в наш век дешевого и достаточно качественного автоматического перевода, это перестает быть чем-то непреодолимым. Тем более, что описания уязвимостей достаточно однотипные. И вот ребята из Vulners эту проблему успешно решают. Они добавили поддержку CNVD сразу на английском! https://vulners.com/search?query=type:cnvd Теперь работать с CNVD не сложнее чем с NVD. Это ли не круто, товарищи?! 🙂