На Территории Безопасности собираюсь чуть менее чем всё время провести в VM-треке. Галочками пометил то, где планирую быть. Вопросиками пометил то, где мне кажется может быть оффтоп и что я, возможно, смотреть не буду (безусловно, субъективно, но вдруг вам тоже интересно 😉). Также на карте выставки отметил места вендоров связанных с Vulnerability Management / Compliance Management.
@avleonovrus #tb2024 #event
@avleonovrus #tb2024 #event
Прибыл на Территорию Безопасности. Первый раз в Hyatt Regency Moscow Petrovsky Park. Дорого-богато-просторно. 👍 Зона выставки и кейтеринга прям здоровенная. Хорошая площадка. Зал тоже отличный и вместительный. Ну разве что экран можно было бы поконтрастнее, но это уже придирки.
@avleonovrus #tb2024 #event
@avleonovrus #tb2024 #event
Отчитался-отвыступался на Территории Безопасности.
🔹 Аналитический блок открыл Рустэм Хайретдинов. Его основные тезисы: 1. Низкая конкуренция на российском рынке VM, высокие цены, прямое импортозамещение невозможно (не соглашусь, цена/качество Nessus это был демпинг, да и для российских инфраструктур западные решения перестают быть актуальными). 2. Облачным сервисам никто больше не верит (имхо, иностранным да, а российским вроде норм 🤷♂️) 3. Российские вендоры в меньшей степени заинтересованы в публикации информации об уязвимостях.
🔹 Дальше я раскрывал тему уязвимостей в БДУ ФСТЭК без ссылок на CVE, среди которых значительная часть и есть уязвимости российских вендоров. 😉
🔹 Дискуссия по VM-у понравилась. Попушил тему с управлением активами, безусловными обновлениями, приоритизацией и выделением трендовых уязвимостей. 👍
Зрителей на дискуссии было не особо много, т.к. в параллель было ещё 2 дискуссии и одна с Алексеем Лукацким 🙂. Ещё и кейтеринг был обильный и разнообразный. 😉
@avleonovrus #tb2024 #event
🔹 Аналитический блок открыл Рустэм Хайретдинов. Его основные тезисы: 1. Низкая конкуренция на российском рынке VM, высокие цены, прямое импортозамещение невозможно (не соглашусь, цена/качество Nessus это был демпинг, да и для российских инфраструктур западные решения перестают быть актуальными). 2. Облачным сервисам никто больше не верит (имхо, иностранным да, а российским вроде норм 🤷♂️) 3. Российские вендоры в меньшей степени заинтересованы в публикации информации об уязвимостях.
🔹 Дальше я раскрывал тему уязвимостей в БДУ ФСТЭК без ссылок на CVE, среди которых значительная часть и есть уязвимости российских вендоров. 😉
🔹 Дискуссия по VM-у понравилась. Попушил тему с управлением активами, безусловными обновлениями, приоритизацией и выделением трендовых уязвимостей. 👍
Зрителей на дискуссии было не особо много, т.к. в параллель было ещё 2 дискуссии и одна с Алексеем Лукацким 🙂. Ещё и кейтеринг был обильный и разнообразный. 😉
@avleonovrus #tb2024 #event
Продолжаю рассказ про уязвимости БДУ без ссылок на CVE идентификаторы разбором конкретных кейсов.
🔹 Почему так много уязвимостей Astra Linux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Linux Kernel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Windows? Их Microsoft выпускали не как CVE-шки, а как ADVisories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷♂️
🔹 Для уязвимостей Debian Linux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event #Astra #Microsoft #Debian #SAP #OpenSource #Zabbix
🔹 Почему так много уязвимостей Astra Linux? Upd 0704. В основном это результат собственного ресёрча.
🔹 Для EMIAS OS уязвимости Linux Kernel, но даже без ссылки на бюллетень. Откуда именно уязвимость непонятно.
🔹 Откуда уязвимости Windows? Их Microsoft выпускали не как CVE-шки, а как ADVisories. Потом для них могут добавлять CVE, которые не пробрасываются в БДУ. 🤷♂️
🔹 Для уязвимостей Debian Linux аналогично. Они заводятся по бюллетеням DSA без ссылки на CVE на момент публикации. Затем ссылка добавляется, но в БДУ она не пробрасывается. 🤷♂️
🔹 Почему много уязвимостей Open Source продуктов? Потому что они заводятся по эксплойтам, в описании которых нет ссылки на CVE.
🔹 Некоторые виндоры не любят заводить CVE идентификаторы. Например, SAP часто выпускают только непубличные SAP Notes.
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event #Astra #Microsoft #Debian #SAP #OpenSource #Zabbix
Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.
🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷♂️ Нужно выявлять такое и репортить.
Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event
🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷♂️ Нужно выявлять такое и репортить.
Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event
Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.
🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").
🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.
Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event #Astra
🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").
🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.
Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"
@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event #Astra
Мой ТОП-3 докладов в VM-треке Территории Безопасности. Когда будут доступны видео и слайды, планирую пересмотреть и взять в проработку. 🙂
🥉 Александр Ненахов, «Инфосистемы Джет», "Как правильно выстраивать процесс мониторинга поверхности атаки". Интересная подборка утилит и сервисов для инвентаризации периметра, поиска уязвимостей, поиска утечек учетных записей, мониторинга теневых ресурсов.
🥈 Дмитрий Евдокимов, Luntry, "Управление уязвимостями в микросервисах и контейнерных средах". Понравилось про то, как нерадивые девопсы препятствуют детектированию уязвимостей в докер-образах и обоснование почему пакеты на нодах кубера не имеет особого смысла обновлять. 🤔
🥇 Илья Зуев, ex-Райффайзенбанк, "Инвентаризация или с чего начинается безопасность?". Крепкая заявка на детальный фреймворк по инвентаризации организаций: от периметра и IoT до юридических документов и данных. 👍 Интересно было про поиск физических закладок-малинок, мимикрирующих под сетевые устройства организации. 😱
@avleonovrus #tb2024 #VMprocess
🥉 Александр Ненахов, «Инфосистемы Джет», "Как правильно выстраивать процесс мониторинга поверхности атаки". Интересная подборка утилит и сервисов для инвентаризации периметра, поиска уязвимостей, поиска утечек учетных записей, мониторинга теневых ресурсов.
🥈 Дмитрий Евдокимов, Luntry, "Управление уязвимостями в микросервисах и контейнерных средах". Понравилось про то, как нерадивые девопсы препятствуют детектированию уязвимостей в докер-образах и обоснование почему пакеты на нодах кубера не имеет особого смысла обновлять. 🤔
🥇 Илья Зуев, ex-Райффайзенбанк, "Инвентаризация или с чего начинается безопасность?". Крепкая заявка на детальный фреймворк по инвентаризации организаций: от периметра и IoT до юридических документов и данных. 👍 Интересно было про поиск физических закладок-малинок, мимикрирующих под сетевые устройства организации. 😱
@avleonovrus #tb2024 #VMprocess
Разбирал содержимое рюкзака и нашёл раздатку VulnsIO с Территории Безопасности. Стикеры довольно забавные. Мне "I believe I can patch" больше всего нравится (почему там Фредди Меркури, правда, непонятно, но пофиг 🤷♂️🙂).
I think about it every night and day
Spread my agents and patch away
😅
Заявленную функциональность из листовки тоже интересно посмотреть. Здесь, правда, есть золотое правило: при анализе маркетинговых материалов нужно обращать внимание не на то, что там есть, а на то, чего там нет и на то, что указано мельком, без особой детализации. 😏
Всё больше акцентов VM-вендоры делают не на хостах и софтах, а на контейнеризации. Куда двигается IT, туда и VM.
Про поддержку систем и софтов, кстати, нашёл у них на сайте актуальный список поддерживаемых ОС, ПО и сетевых устройств от 22.03.2024. 👍 Для теста проверил Confluence - есть. Но только в разделе Windows. А Confluence, естественно, и на Linux ставится.
@avleonovrus #VulnsIO #tb2024
I think about it every night and day
Spread my agents and patch away
😅
Заявленную функциональность из листовки тоже интересно посмотреть. Здесь, правда, есть золотое правило: при анализе маркетинговых материалов нужно обращать внимание не на то, что там есть, а на то, чего там нет и на то, что указано мельком, без особой детализации. 😏
Всё больше акцентов VM-вендоры делают не на хостах и софтах, а на контейнеризации. Куда двигается IT, туда и VM.
Про поддержку систем и софтов, кстати, нашёл у них на сайте актуальный список поддерживаемых ОС, ПО и сетевых устройств от 22.03.2024. 👍 Для теста проверил Confluence - есть. Но только в разделе Windows. А Confluence, естественно, и на Linux ставится.
@avleonovrus #VulnsIO #tb2024
Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков. Ура-ура! 🎉 На Территории Безопасности меня спросили: а зачем я этим занимаюсь, какая цель этого всего? Отвечаю. Цели нет. Есть путь. Рефлексия превращается в слова, слова собираются в пост, пост публикуется. Всё. Ну и в результате получается такая база перелинкованных постов на разные темы, в которой можно, при необходимости, что-то найти. Особенно приятно, что я эту базу утащил на свой хостинг, где она продолжит существовать после блокировки Телеграма. 😉
Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.
Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.
Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨💻
@avleonovrus #Telegram #tb2024
Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.
Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.
Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨💻
@avleonovrus #Telegram #tb2024