Архив метки: XSpider

Прожектор по ИБ, выпуск №6 (08.10.2023)

1 комментарий

Прожектор по ИБ, выпуск №6 (08.10.2023). Записали очередной эпизод. В основном мы говорили про уязвимости прошлой недели.

Мы это:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Glob­al Dig­i­tal Space"

00:00 Здороваемся, смотрим статистику по просмотрам предыдущего выпуска
02:18 Саша вышел на работу в Pos­i­tive Tech­nolo­gies и чем же он там будет заниматься
04:50 RCE без аутентификации в почтовом сервере Exim (CVE-2023–42115)
08:16 SSRF/RCE в Torch­Serve (CVE-2023–43654, CVE-2022–1471), Shell­Torch
12:05 В Cis­co Emer­gency Respon­der нашли root-овые учётки с захардкоженными паролями (CVE-2023–20101)
16:44 Новый криптографический протокол аутентификации Open­Pub­key
17:56 EoP или обход аутентификации в Atlass­ian Con­flu­ence (CVE-2023–22515)
23:42 Грядет опасная уязвимость cURL и libcurl (CVE-2023–38545)
27:07 Новая bug boun­ty программа Минцифры
30:32 Система бронирования "Леонардо" вновь подверглась DDOS-атаке из-за рубежа
35:22 Экосистема Xiao­mi вышла из строя по всей России
36:38 Qualys‑ы наресерчили EoP/LPE уязвимость во всех Lin­ux-дистрибах, а конкретно в glibc (CVE-2023–4911)
39:19 XSpider‑у 25 лет. Ровно как и всему современному Vul­ner­a­bil­i­ty Management‑у. Обсуждаем в какую сторону развивается VM.
46:42 Прощание от Mr. X

XSpider‑у 25 лет

1 комментарий

XSpider-у 25 лет

XSpider‑у 25 лет. Ура! 🥳 Имхо, 25 лет назад и начался весь современный Vul­ner­a­bil­i­ty Man­age­ment. 1998 год — вышел XSpi­der и Nes­sus. Nmap, правда, вышел чуть раньше, 1 сентября 1997, но не суть. 🙂

Про историю Vulnerability Management‑а

Добавить комментарий

Про историю Vul­ner­a­bil­i­ty Management‑а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Tra­di­tion­al Vul­ner­a­bil­i­ty Man­age­ment is Dead!" с Ste­fan Thel­berg, CEO Holm Secu­ri­ty. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.

В начале Ste­fan Thel­berg заявляет про историю Vul­ner­a­bil­i­ty Assessment‑а (Vul­ner­a­bil­i­ty Management‑а) буквально следующее:

1. Оригинальная идея Vul­ner­a­bil­i­ty Assessment‑а появилась в гайдлайнах NIST‑а.
2. Прошло 20 лет и появились первые Vul­ner­a­bil­i­ty Assess­ment продукты.
3. Большая часть Vul­ner­a­bil­i­ty Assess­ment продуктов родились из опенсурсного проекта Open­VAS.
4. Один из наиболее распространенных продуктов на рынке, Nes­sus, это коммерческий форк Open­VAS.
5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Ten­able, Qualys.

То, что VA/VM родился из каких-то публикаций NIST‑а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был Open­VAS, а потом Nes­sus это очень странно. Первая версия The Nes­sus Project вышла в 1998 как GPL проект. Первая версия XSpi­der (тогда Spi­der) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Ten­able в 2002, Pos­i­tive Tech­nolo­gies в 2002. Проект Open­VAS (GNes­sUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus‑а, т.к. сам Nes­sus с 2005 года стал проприетарным продуктом Ten­able.

Вот и думай теперь, то ли Ste­fan Thel­berg говорит о том, о чем понятия не имеет. То ли он как-то странно называет Open­VAS-ом оригинальный Nes­sus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus‑а или OpenVAS‑а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nex­pose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nes­sus. Может, конечно, у самих Holm Secu­ri­ty движок это Open­VAS и они всех по себе меряют, не знаю. 😏

Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM‑у" не поддерживать все типы активов, которые в организации есть — непонятно. Да и какой-то проблемы прикрутить к VM‑у Антифишинг, если так уж хочется, тоже нет.

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Добавить комментарий

Средства Детектирования Уязвимостей Инфраструктуры (СДУИ).

1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)

Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.

Pos­i­tive Tech­nolo­gies — Max­Pa­trol 8, XSpi­der, Max­Pa­trol VM. Специализированные продукты для детектирования уязвимостей и мисконфигураций. Очень большая база детектов: Win­dows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, ERP системы, АСУ ТП. Max­Pa­trol 8 развивается с 2009 г., привязан к Win­dows (сервер, клиент). XSpi­der — урезанная версия Max­Pa­trol 8, сканирование с аутентификацией поддерживается только для Win­dows хостов, остальное только без аутентификации. MaxPa­trol VM представлен в 2020 г., содержит расширенные возможности по работе с активами и уязвимостями, а также позволяет контролировать процесс их устранения, но имеет несколько меньшую базу детектов по сравнению с Max­Pa­trol 8.

АЛТЭКС-СОФТ — Red­Check. Специализированный продукт для детектирования уязвимостей и мисконфигураций. Большая база детектов: Win­dows, Linux/Unix, сетевое оборудование, виртуализация, СУБД, веб-сервера, сервера веб-приложений, АСУ ТП. Позволяет проводить комплексный аудит безопасности для образов и Dock­er-контейнеров, а также Kuber­netes. Поддерживает сканирование с аутентификацией и без. Имеет возможности по приоритизации уязвимостей и контролю их устранения. Является OVAL-совместимым продуктом, позволяет использовать сторонний OVAL-контент для детектов.

НПО «Эшелон» — Сканер-ВС. Lin­ux дистрибутив содержащий утилиты для решения задач анализа защищённости, в том числе сетевой сканер уязвимостей. Для детекта уязвимостей в Сканер-ВС версии 5 и более ранних использовался движок СПО проекта Open­VAS. Начиная с версии 6 Сканер-ВС содержит локальную обновляемую базу уязвимостей и собственный движок на Go, который ищет в этой базе по данным о системах.

Фродекс — Vulns. io VM, облачный API. Специализированные продукты для детектирования уязвимостей. Vulns. io VM может сканировать Win­dows, Lin­ux (большой набор, в т.ч. сертифицированные дистрибутивы), сетевое оборудования, Dock­er-контейнеры и реестры контейнеров. Сканирование в агентном и безагентном режиме. Может работать на российских Lin­ux дистрибутивах. Облачный API позволяет детектировать уязвимости "по запросу" на основе имеющейся инвентаризационной информации о хостах/контейнерах, например по данным из CMDB или SIEM.

Газинформсервис — Efros Con­fig Inspec­tor. Продукт для контроля конфигураций и состояний IT-активов имеющий, кроме прочего, функциональность по детекту уязвимостей. Позволяет детектировать уязвимости для большой номенклатуры сетевых устройств, Lin­ux, Win­dows, систем виртуализации.

Kasper­sky — Secu­ri­ty Cen­ter. Продукт для управления безопасностью IT-инфраструктуры с дополнительной функциональностью по детекту уязвимостей на Win­dows хостах.

Cloud Advi­sor. Сервис для обеспечения безопасности и соответствия требованиям в публичном облаке. Содержит модуль по управлению уязвимостями, который позволяет выявлять и приоритизировать уязвимости операционных систем, пакетов и библиотек на виртуальных машинах, развернутых в облаке, без использования агентов.

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров

Добавить комментарий

Картинка Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)" в рамках проекта карты российских около-VM-ных вендоров.

Помимо логотипов добавил краткие характеристики благодаря каким продуктам каждый из вендоров попал в категорию. Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Если расписывать как каждый продукт детектирует уязвимости, какие именно системы в какой степени поддерживает, какие уникальные проверки и фичи реализует, то по каждому можно книгу написать, а то и не одну. Оставим это маркетологам уважаемых вендоров. 🙂 Здесь задача была другая.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку — обсудим, добавлю/поправлю.

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Добавить комментарий

Посмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpiderПосмотрел вебинар Positive Technologies про редизайн консоли MaxPatrol 8 и XSpider

Посмотрел вебинар Pos­i­tive Tech­nolo­gies про редизайн консоли Max­Pa­trol 8 и XSpi­der. В этом обновлении логика работы не поменялась. Все управление осталось таким же. Обновили интерфейс в стиле Win11, с которым будет приятно глазу работать. Планируют сделать и темную тему.

Конечно хотелось бы увидеть финт, который сделали Ten­able c Nes­sus. Когда-то давно у них был толстый клиент, а потом они перешли на веб-интерфейс (сначала на Flash, потом переписали на SPA), в процессе сделали вполне приличный API. Потом правда этот API официально выпилили из Nes­sus, но в Tenable.io он продолжает использоваться. Такой же финт, насколько я понимаю, сделали Altx-Soft с дополнительным веб-интерфейсом для Red­Check.

Было бы круто увидеть web gui для Max­Pa­trol 8 и XSpi­der, но ожидать его не приходится по ряду причин. Перечисленное исключительно моё имхо:

1. Толстый клиент MP8/XSpider гораздо более мощный по функциональности, чем у конкурентов. Чтобы сделать вегбуй требуется серьезное изменение логики и переписывание многих модулей. И это уже делается в разработке Max­pa­trol VM.
2. MP8/XSpider существуют по той причине, что пока ещё не вся экспертиза и функциональность перенесена в Max­pa­trol VM (комплаенс-режима, например, нет). Рано или поздно это произойдет и эти продукты контролируемо сведут с орбиты. НО пока продажи и поддержку продолжают, прекращать не планируют. Это же объясняет и почему не оправдана миграция на Lin­ux текущих решений.
3. Логично было бы предположить появление нового поколения решений а‑ля MP8 и XSpi­der, урезанных из Max­pa­trol VM, когда будут достигнуты цели из п.2.

PS: В QA интересный вопрос был про продление про сертификатов для MP8/XSpider после 08.07.2024. Ответили, что под большим вопросом, как и для всего ПО под Win­dows в принципе.