Разбор VM-ной вакансии: Руководитель отдела анализа защищенности в Почту России. Продолжаю разбирать профильные вакансии.
Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:
🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов
Последнее странновато, т.к. это скорее вотчина команды детекта атак.
"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏
Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔
VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉
🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.
@avleonovrus #PTCareerHub #vacancy #ПочтаРоссии
Судя по перечню задач, в Почте России к анализу защищённости помимо VM-а (и контроля периметра) включают:
🔹 контроль конфигураций
🔹 проведение Pentest-ов
🔹 развёртывание Honeypot-ов
Последнее странновато, т.к. это скорее вотчина команды детекта атак.
"Агрегирование статистики и составление отчётов по итогам этапов процесса" предполагается делать в MS PowerBI. А импортозамес? 😏
Немало интригует фраза про управление VM-процессом "без прямого использования сканирований и результатов работы сканеров уязвимостей". То ли самому сканы запускать не придётся, то ли они вообще без сканов обходятся. 🤔
VM-процесс нужно будет выстраивать по "методологии ФСТЭК", а устранение уязвимостей контролировать "с учётом реалий инфраструктуры". 😉
🟥 Вакансия из PT Career Hub - проекта Positive Technologies по подбору сотрудников в дружественные компании.
@avleonovrus #PTCareerHub #vacancy #ПочтаРоссии
Про Silent Patching на примере кейса Аспро. Эта компания предлагает услуги по запуску и миграции сайтов с использованием своего решения на базе 1С-Битрикс.
14 октября 2024 года центр кибербезопасности белорусского хостинг-провайдера HosterBy сообщил об обнаружении цепочки взломов веб-сайтов на основе решения Аспро (по большей части интернет-магазинов). RCE уязвимость связана с использованием небезопасной PHP-функции unserialize. Уязвимы версии Аспро:Next до 1.9.9.
6 февраля 2025 в блоге Аспро вышел пост, в котором они презентовали бесплатный скрипт-патчер, исправляющий уязвимость. 👍 Но там же они пишут, что сами нашли и исправили эту уязвимость ещё в 2023 году, но "намеренно не афишировали детали".
✅ Те, кто платили Аспро за поддержку и обновлялись до последней версии, были в безопасности.
❌ А те, кто обновлялись только при детекте уязвимости - нет. Информации по уязвимости не было. Ни CVE, ни BDU. 😏
И вендор ответственности за сокрытие не несёт. 🤷♂️
@avleonovrus #silentpatching #Аспро #Bitrix
14 октября 2024 года центр кибербезопасности белорусского хостинг-провайдера HosterBy сообщил об обнаружении цепочки взломов веб-сайтов на основе решения Аспро (по большей части интернет-магазинов). RCE уязвимость связана с использованием небезопасной PHP-функции unserialize. Уязвимы версии Аспро:Next до 1.9.9.
6 февраля 2025 в блоге Аспро вышел пост, в котором они презентовали бесплатный скрипт-патчер, исправляющий уязвимость. 👍 Но там же они пишут, что сами нашли и исправили эту уязвимость ещё в 2023 году, но "намеренно не афишировали детали".
✅ Те, кто платили Аспро за поддержку и обновлялись до последней версии, были в безопасности.
❌ А те, кто обновлялись только при детекте уязвимости - нет. Информации по уязвимости не было. Ни CVE, ни BDU. 😏
И вендор ответственности за сокрытие не несёт. 🤷♂️
@avleonovrus #silentpatching #Аспро #Bitrix
Безусловные регулярные обновления - путь реалиста. Ставшие публичными кейсы Silent Patching-а демонстрируют беспомощность Vulnerability Management-а перед реальностью, в которой мы знаем об уязвимостях продуктов только то, что нам по доброй воле сообщает вендор. Дал информацию вендор - мы разбираем CVE-шки и умничаем о приоритетах их устранения в конкретной инфре. Не дал - мы пребываем в сладких иллюзиях, что всё безопасно вплоть до начала массовых инцидентов. 🤷♂️
Можно сколько угодно ворчать, что вендор не должен иметь возможности скрывать инфу по уязвимостям в собственных продуктах. Но они скрывают! 🙂
Единственный вариант снизить риски - принять реальность такой, как она есть. Наши знания об уязвимостях ограничены. Видишь в инфре не обновленный до последней версии софт - обнови его! Семь бед - один apt-get update && apt-get upgrade! 😅 Может обновление не исправляет критичную уязвимость, а может исправляет. 😉 Достоверно нам об этом знать не дано. 🤷♂️
@avleonovrus #silentpatching #Remediation #URP
Можно сколько угодно ворчать, что вендор не должен иметь возможности скрывать инфу по уязвимостям в собственных продуктах. Но они скрывают! 🙂
Единственный вариант снизить риски - принять реальность такой, как она есть. Наши знания об уязвимостях ограничены. Видишь в инфре не обновленный до последней версии софт - обнови его! Семь бед - один apt-get update && apt-get upgrade! 😅 Может обновление не исправляет критичную уязвимость, а может исправляет. 😉 Достоверно нам об этом знать не дано. 🤷♂️
@avleonovrus #silentpatching #Remediation #URP
Очень злой мир. Невольно отслеживаю схемы IT-мошенничества (давно уже не только "телефонного"). С каждым днём схемы всё изощрённее. Нет такой гнусности на которую не пойдут злодеи, чтобы получить доступ к банковским счетам и госуслугам жертв. Звонки "от следователя" примелькались? Так вот вам про "код от домофона". И ещё миллион сценариев. 😕
На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄
Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.
Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷♂️ И вина безопасников в этом тоже, безусловно, есть.
@avleonovrus #HumanVM
На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄
Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.
Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷♂️ И вина безопасников в этом тоже, безусловно, есть.
@avleonovrus #HumanVM
Дуров в Дубае. Сообщают, что Дурову разрешили покинуть Францию на "несколько недель" и 15 марта он вылетел в Дубай. Что это значит для перспектив Телеграма в России? Видятся 2 варианта:
🔹 Дуров мог сдать и слить всё, что только можно французам и дать подкреплённые гарантии дальнейшего сотрудничества. Если так, то послабления в мерах пресечения для Дурова ничего не значат, комментариев от него не последует, а через "несколько недель" он вернётся во Францию. При этом раскладе ничего не меняется, движемся по треку блокировок.
🔹 Это результат чьих-то договорённостей. Тогда разрешение на временный выезд может быть удобной схемой, по которой Дуров вытаскивает свою тушку из Франции, а все стороны "сохраняют лицо". Во Францию он не вернётся, его формально объявят в розыск, а через какое-то время мы увидим интервью Павла Валерьевича про то как Телеграм противостоит внешнему давлению. Тогда возможно возвращение Телеграма к развитию в качестве нейтральной договороспособной площадки.
@avleonovrus #Telegram
🔹 Дуров мог сдать и слить всё, что только можно французам и дать подкреплённые гарантии дальнейшего сотрудничества. Если так, то послабления в мерах пресечения для Дурова ничего не значат, комментариев от него не последует, а через "несколько недель" он вернётся во Францию. При этом раскладе ничего не меняется, движемся по треку блокировок.
🔹 Это результат чьих-то договорённостей. Тогда разрешение на временный выезд может быть удобной схемой, по которой Дуров вытаскивает свою тушку из Франции, а все стороны "сохраняют лицо". Во Францию он не вернётся, его формально объявят в розыск, а через какое-то время мы увидим интервью Павла Валерьевича про то как Телеграм противостоит внешнему давлению. Тогда возможно возвращение Телеграма к развитию в качестве нейтральной договороспособной площадки.
@avleonovrus #Telegram
Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом.
📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Содержание:
🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей
Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #SecLab #Windows #Microsoft #PatchTuesday #AFDsys #WindowsStorage #PANOS #PaloAlto #Assetnote #GreyNoise #CommuniGatePro #CyberOK #VMprocess #Linux #PostgreSQL #Linux #BrocastTeam
📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Содержание:
🔻 00:00 Вступление
🔻 00:41 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2025-21418)
🔻 01:22 Elevation of Privilege - Windows Storage (CVE-2025-21391)
🔻 02:04 Authentication Bypass - PAN-OS (CVE-2025-0108)
🔻 03:19 Remote Code Execution - CommuniGate Pro (BDU:2025-01331)
🔻 04:37 VM-ная загадка: кто должен патчить хосты с развёрнутым прикладом
🔻 07:21 Про дайджест трендовых уязвимостей
Кстати, продакшн нам делают ребята из brocast.team. Очень толковые и внимательные к деталям. 👍 Сложные приколюшечки типа 03:49 сами придумывают и реализуют. 😮 А склеечки какие аккуратненькие делают - ммм. Работать с ними одно удовольствие. 😇 Рекомендую!
@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #SecLab #Windows #Microsoft #PatchTuesday #AFDsys #WindowsStorage #PANOS #PaloAlto #Assetnote #GreyNoise #CommuniGatePro #CyberOK #VMprocess #Linux #PostgreSQL #Linux #BrocastTeam
VK Видео
В тренде VM Март 2025: уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развернутым прикладом
В этом выпуске ведущий «В тренде VM» Александр Леонов расскажет про главные уязвимости, которые стали трендовыми за последний месяц. Подробно рассмотрим уязвимости Microsoft Windows, сетевых устройств Palo Alto и CommuniGate Pro (первая трендовая уязвимость…
Управление Уязвимостями и прочее pinned «Мартовский выпуск "В тренде VM": уязвимости Microsoft, PAN-OS, СommuniGate и кто должен патчить хосты с развёрнутым прикладом. 📹 Ролик на VK Видео, RUTUBE, YouTube 🗞 Пост на Хабре 🗒 Дайджест на сайте PT Содержание: 🔻 00:00 Вступление 🔻 00:41 Elevation…»
О сравнении VM-продуктов. Имхо, сравнение VM-продуктов по опросникам, а-ля Cyber Media, это, конечно, лучше, чем ничего, но не сказать, что особенно полезно. 🤷♂️
🔻 В таких сравнениях обычно уделяют мало внимания тому, уязвимости в каких системах умеет детектировать VM-решение (а это самое главное!).
🔻 Но даже если представить, что мы вынесем в опросник все поддерживаемые системы и аккуратненько сопоставим декларируемые возможности каждого VM-решения, то и этого будет недостаточно. Декларировать можно всё что угодно, а ты поди проверь качество реализации. 😏
Имхо, при проведении сравнений необходимо выполнять практическое тестирование хотя бы на минимальном количестве стендов:
🔹 Типичный Windows десктоп и сервер
🔹 Типичный Linux десктоп и сервер
🔹 Типичное сетевое устройство (на Cisco IOS?)
Провести их сканирование в режиме с аутентификацией разными VM-продуктами, сопоставить результаты и предложить VM-вендорам объяснить расхождения. Это будет уже хоть что-то. 😉
@avleonovrus #Detection #Comparison
🔻 В таких сравнениях обычно уделяют мало внимания тому, уязвимости в каких системах умеет детектировать VM-решение (а это самое главное!).
🔻 Но даже если представить, что мы вынесем в опросник все поддерживаемые системы и аккуратненько сопоставим декларируемые возможности каждого VM-решения, то и этого будет недостаточно. Декларировать можно всё что угодно, а ты поди проверь качество реализации. 😏
Имхо, при проведении сравнений необходимо выполнять практическое тестирование хотя бы на минимальном количестве стендов:
🔹 Типичный Windows десктоп и сервер
🔹 Типичный Linux десктоп и сервер
🔹 Типичное сетевое устройство (на Cisco IOS?)
Провести их сканирование в режиме с аутентификацией разными VM-продуктами, сопоставить результаты и предложить VM-вендорам объяснить расхождения. Это будет уже хоть что-то. 😉
@avleonovrus #Detection #Comparison
Про уязвимость Remote Code Execution - SINAMICS S200 (CVE-2024-56336). SINAMICS S200 - система сервоприводов для высокодинамического управления движением, разработанная компанией Siemens. Эта система может использоваться, например, для работы с деталями: их позиционирования в процессе сборки, перемещения в конвейерных системах, высокоточной обработки.
Суть уязвимости в том, что загрузчик устройства разблокирован (unlocked bootloader), что позволяет проводить инъекцию вредоносного кода и устанавливать недоверенную (и вредоносную) прошивку. Эксплуатируя уязвимость, злодеи могут реализовывать разнообразные диверсии.
Siemens патчи (пока?) не выпустили. Рекомендуют "защищать сетевой доступ к устройствам с помощью соответствующих механизмов". 😉
Признаков эксплуатации вживую и готовых эксплоитов пока нет. Уязвимость подсветили в бюллетене CISA и добавили в БДУ ФСТЭК (может косвенно свидетельствовать об использовании SINAMICS S200, на российских предприятиях).
@avleonovrus #Siemens #SINAMICS
Суть уязвимости в том, что загрузчик устройства разблокирован (unlocked bootloader), что позволяет проводить инъекцию вредоносного кода и устанавливать недоверенную (и вредоносную) прошивку. Эксплуатируя уязвимость, злодеи могут реализовывать разнообразные диверсии.
Siemens патчи (пока?) не выпустили. Рекомендуют "защищать сетевой доступ к устройствам с помощью соответствующих механизмов". 😉
Признаков эксплуатации вживую и готовых эксплоитов пока нет. Уязвимость подсветили в бюллетене CISA и добавили в БДУ ФСТЭК (может косвенно свидетельствовать об использовании SINAMICS S200, на российских предприятиях).
@avleonovrus #Siemens #SINAMICS
Евгений Баклушин выложил у себя папку Телеграм-каналов по ИБ. Там каналы (15 шт.), которые он читает без пропусков: авторские блоги и одно СМИ. Очень приятно, что "Управление Уязвимостями и прочее" там тоже есть. 😇
✅ Проштудировал папку, подписался на четыре канала, о которых раньше не знал. Подборка отличная. 👍
➡️ Добавляйте себе и скидывайте коллегам. 😉
@avleonovrus #Telegram #folder
✅ Проштудировал папку, подписался на четыре канала, о которых раньше не знал. Подборка отличная. 👍
➡️ Добавляйте себе и скидывайте коллегам. 😉
@avleonovrus #Telegram #folder
Про уязвимость Spoofing - Windows File Explorer (CVE-2025-24071). Уязвимость из мартовского Microsoft Patch Tuesday. VM-вендоры не выделяли её в своих обзорах. Спустя неделю, 18 марта, в блоге исследователя 0x6rss вышел write-up по этой уязвимости и PoC эксплоита. По его словам, уязвимость активно эксплуатируется вживую и, возможно, эксплойт для этой уязвимости продавался в даркнете с ноября прошлого года.
В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.
Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.
Супер-эффективно для фишинга. 😱
@avleonovrus #Windows #FileExplorer
В чём суть. Когда файловый менеджер Windows видит в папке файл типа .library-ms, он автоматически начинает его парсить. Если файл содержит ссылку на удалённую SMB-шару, инициируется NTLM handshake для аутентификации. И если SMB-шару контролирует злоумышленник, то он может перехватить NTLMv2 хеш, побрутить его или использовать в атаках pass-the-hash.
Но ведь такой файл нужно как-то подсунуть пользователю? Оказывается, уязвимость эксплуатируется при распаковке архива (ZIP/RAR), содержащего зловредный файл. Сам файл открывать не нужно.
Супер-эффективно для фишинга. 😱
@avleonovrus #Windows #FileExplorer
Мартовский Linux Patch Wednesday. Всего уязвимостей: 1083. 😱 879 в Linux Kernel. 🤦♂️ Для двух уязвимостей есть признаки эксплуатации вживую:
🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.
19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:
🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)
Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Tomcat #SPIP #Assimp #libxml2 #CISAKEV
🔻 Code Injection - GLPI (CVE-2022-35914). Старая уязвимость из CISA KEV, но впервые была исправлена 3 марта в Linux репозитории RedOS.
🔻 Memory Corruption - Safari (CVE-2025-24201). В Linux репозиториях исправляется в пакетах WebKitGTK.
19 уязвимостей с признаками наличия публичного эксплоита. Из них можно выделить:
🔸 Remote Code Execution - Apache Tomcat (CVE-2025-24813)
🔸 Command Injection - SPIP (CVE-2024-8517)
🔸 Memory Corruption - Assimp (CVE-2025-2152)
🔸 Memory Corruption - libxml2 (CVE-2025-27113)
Для уязвимости Elevation of Privilege - Linux Kernel (CVE-2022-49264), своего эксплоита пока нет, но в описании обращают внимание на то, что уязвимость напоминает известный PwnKit (CVE-2021-4034).
🗒 Полный отчёт Vulristics
@avleonovrus #LinuxPatchWednesday #Vulristics #Linux #Tomcat #SPIP #Assimp #libxml2 #CISAKEV
О сертификации VM-продуктов по качеству детектирования. Моё мнение - такая сертификация должна быть. Добровольная или обязательная, государственная или негосударственная. Но хоть какая-то должна быть. Это ненормально, когда вендор может начать продавать буквально любой треш, а задача оценки качества детектирования уязвимостей (равно как и ответственность в случае инцидента) целиком ложится на клиента. 🤷♂️ Рыночек тут не порешает.
Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.
И тут встают очень интересные вопросы:
🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?
🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?
🔹 Как будут решаться спорные вопросы?
Если с этим определиться, то создание автоматических тестов становится делом техники.
@avleonovrus #Detection #Comparison #VMcertification
Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.
И тут встают очень интересные вопросы:
🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?
🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?
🔹 Как будут решаться спорные вопросы?
Если с этим определиться, то создание автоматических тестов становится делом техники.
@avleonovrus #Detection #Comparison #VMcertification
Compliance-сканирование в R-Vision VM. Эта фича была в роадмапе R-Vision на Q1. Уложились. 👍
Пока реализованы только низкоуровневые технические стандарты CIS Benchmarks БЕЗ маппинга на высокоуровневые (PCI DSS, ISO 27001 и т.п.). Полный список не предоставляют, но сообщают, что это стандарты "для различных ОС Linux и Windows, сетевых устройств Cisco, ПО (Apache Tomcat, Microsoft Exchange и др.) и СУБД (Oracle, MSSQL и др.)".
Для примера показывают 16 стандартов для Ubuntu 24.04 , Rocky Linux 8/9, RHEL 8/9, Microsoft Windows Server 2016/2022, Windows 10/11, Cisco NX-OS, Cisco IOS XR7.x/XE17.x/17.x, Cisco ASA.
❗ Есть возможность загружать собственные проверки в YAML файлах. Формат немного напоминает Wazuh SCA, но не он. Вполне вероятно, что формат кастомный. Стандарты CIS из коробки реализованы на таких же ямликах. Формат гибкий. Например, позволяет проверять переменные, инициализируемые результатами выполнения команды на хосте (sshexec). 👍
@avleonovrus #RVision #RVisionVM #Compliance #CIS
Пока реализованы только низкоуровневые технические стандарты CIS Benchmarks БЕЗ маппинга на высокоуровневые (PCI DSS, ISO 27001 и т.п.). Полный список не предоставляют, но сообщают, что это стандарты "для различных ОС Linux и Windows, сетевых устройств Cisco, ПО (Apache Tomcat, Microsoft Exchange и др.) и СУБД (Oracle, MSSQL и др.)".
Для примера показывают 16 стандартов для Ubuntu 24.04 , Rocky Linux 8/9, RHEL 8/9, Microsoft Windows Server 2016/2022, Windows 10/11, Cisco NX-OS, Cisco IOS XR7.x/XE17.x/17.x, Cisco ASA.
❗ Есть возможность загружать собственные проверки в YAML файлах. Формат немного напоминает Wazuh SCA, но не он. Вполне вероятно, что формат кастомный. Стандарты CIS из коробки реализованы на таких же ямликах. Формат гибкий. Например, позволяет проверять переменные, инициализируемые результатами выполнения команды на хосте (sshexec). 👍
@avleonovrus #RVision #RVisionVM #Compliance #CIS
Канал "Управление Уязвимостями и прочее" снова засветился в рейтинге Топ-108 лучших телеграм-каналов по ИБ. В категории "Авторские".
Правда, в прошлом году в аналогичном рейтинге я был на третьей позиции, а в этом уже на шестой. 😅 И даже не один, а в компании с Алексеем Комаровым и Денисом Батранковым. Но всё равно очень приятненько. 😇
Рейтинг подготовили Sachok и Пакет Безопасности. Каналы выбирались голосованием уважаемого экспертного совета. Почти Оскар, лол. 😄 Главным критерием было качество контента. Каналы ранжировались по количеству голосов в своей категории.
PS: Самый лучший канал с ИБ-мемами однозначно Memekatz. Пролистал всё до начала, орал в голосинушку. 😆
@avleonovrus #rating #Telegram #achievement
Правда, в прошлом году в аналогичном рейтинге я был на третьей позиции, а в этом уже на шестой. 😅 И даже не один, а в компании с Алексеем Комаровым и Денисом Батранковым. Но всё равно очень приятненько. 😇
Рейтинг подготовили Sachok и Пакет Безопасности. Каналы выбирались голосованием уважаемого экспертного совета. Почти Оскар, лол. 😄 Главным критерием было качество контента. Каналы ранжировались по количеству голосов в своей категории.
PS: Самый лучший канал с ИБ-мемами однозначно Memekatz. Пролистал всё до начала, орал в голосинушку. 😆
@avleonovrus #rating #Telegram #achievement
Что за зверь "Vulnerability Operation Center"? VOC - не самый распространённый термин, но на западе встречается. Одни компании (небольшие вендоры, такие как Hackuity, Patrowl, YOGOSHA) определяют его как платформу или утилиту для управления уязвимостями, которая имеет преимущества перед "традиционными VM-решениями". Другие (сервис-провайдеры, такие как Orange Cyberdefense и Davidson), определяют VOC как структурные подразделения организаций.
Между VOC и VM примерно такая же смысловая неразбериха, как была межу SOC и SIEM. 🙂 И я склонен разрешать её аналогичным образом. VOС - структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для детектирования, приоритизации и устранения уязвимостей (с одним решением удобнее 🙂). VM-процесс может быть выстроен, например, в соответствии с "Руководством по организации процесса управления уязвимостями в органе (организации)" ФСТЭК и расширен с учётом БОСПУУ. 😉
@avleonovrus #VOC #VMprocess
Между VOC и VM примерно такая же смысловая неразбериха, как была межу SOC и SIEM. 🙂 И я склонен разрешать её аналогичным образом. VOС - структурное подразделение организации, специалисты которого реализуют VM-процесс, используя одно или несколько VM-решений для детектирования, приоритизации и устранения уязвимостей (с одним решением удобнее 🙂). VM-процесс может быть выстроен, например, в соответствии с "Руководством по организации процесса управления уязвимостями в органе (организации)" ФСТЭК и расширен с учётом БОСПУУ. 😉
@avleonovrus #VOC #VMprocess
SOC и VOC на одном уровне? Как по мне, выделение Vulnerability Operation Center на одном уровне организационной структуры с Security Operation Center - неплохая идея.
Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.
В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉
Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏
@avleonovrus #VOC #VMprocess #SOC
Конечно, в SOC можно, при желании, перевести практически любые ИБ-процессы организации, включая VM. И так частенько делают. Но, думаю никто не будет спорить, что всё же основная задача SOC - детектирование инцидентов и реагирование на них. И, имхо, хорошо, когда SOC на этой реактивной функции и специализируется.
В VOC же можно собрать всё, что касается проактивной безопасности - выявление, приоритизацию и устранение всевозможных уязвимостей (CVE/БДУ, конфигураций, своего кода), технический compliance, контроль состояния СЗИ и САЗ. В общем всё то, что повышает безопасность инфраструктуры и усложняет проведение атак, а значит облегчает работу SOC. 😉
Однако структура департамента ИБ - это, часто, политический вопрос, а не вопрос практической полезности и целесообразности. 😏
@avleonovrus #VOC #VMprocess #SOC
Полный CTEM. У Дениса Батранкова вышел пост про то, что "VM больше не спасает", но есть продвинутая альтернатива - CTEM. Я своё мнение по поводу CTEM высказал в прошлом году и оно не изменилось: это очередной бессмысленный маркетинговый термин от Gartner. Всё "новое" в CTEM-е давно реализовано в VM-решениях.
Посудите сами:
🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?
Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂
Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉
@avleonovrus #Gartner #CTEM #VMprocess #БОСПУУ
Посудите сами:
🔹 Разве VM-решения детектируют только CVE и не детектируют мисконфигурации?
🔹 VM-решения приоритизируют уязвимости только по CVSS без учёта признаков наличия эксплоитов и эксплуатации в реальных атаках?
🔹 VM-щики не сканируют периметр?
Это же смехотворно. Всё это даже урезанным Nessus-ом можно делать. Апологеты CTEM придумали удобное соломенное чучело под названием "обычный VM" и решительно его побеждают. 🙂
Но заметьте о чём они молчат: о контроле качества детектирования, покрытия активов, выполнения тасков на устранение (БОСПУУ). То, что является основой, конкретно, проверяемо и требует значительных ресурсов для реализации. 😉
@avleonovrus #Gartner #CTEM #VMprocess #БОСПУУ
В этот четверг, 27 марта, в 11:00 состоится вебинар по использованию BI.ZONE GRC для управления уязвимостями и комплаенсом.
Выступать будут:
🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.
🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.
🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.
Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂
Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.
➡️ Регистрация на сайте
@avleonovrus #BIZONE #VMprocess #ComplianceManagement
Выступать будут:
🔹 Андрей Быков, руководитель BI.ZONE GRC. Расскажет про само решение.
🔹 Кирилл Карпиевич, специалист по анализу уязвимостей "СберТех". Расскажет о сложностях управления уязвимостями в крупнейшем облачном провайдере.
🔹 Андрей Шаврин, начальник отдела информационной безопасности "МУЗ‑ТВ". Расскажет как выстроить комплаенс по ПДН и КИИ для группы компаний.
Обещают сделать упор на управление активами и рассказать "какие процессы можно автоматизировать минимум на 80%". Звучит интригующе. 🙂
Телеграм-канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. Собираюсь посмотреть и поделиться впечатлениями.
➡️ Регистрация на сайте
@avleonovrus #BIZONE #VMprocess #ComplianceManagement
Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.
Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.
Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.
До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.
❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉
Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.
@avleonovrus #Veeam #Backup #Replication #watchTowrLabs
Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.
Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.
До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.
❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉
Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.
@avleonovrus #Veeam #Backup #Replication #watchTowrLabs
25 апреля в Казахстане пройдёт третий AppSecFest. На мероприятии будет 2 конференц-зоны:
🔹 Sec Zone посвящена безопасности приложений: SAST, DAST, IAST, API, IaC, Cloud Security, Pentesting, Bug Bounty, Vault, WAF, Web 3.0 Security, Secure SDLC, DevSecOps, управление уязвимостями, угрозы, регуляторные требования, атака/защита приложений.
🔹 App Zone посвящена разработке ПО: Mobile, Web, X-Platform, Frontend/Backend, Microservices, Docker/K8s, Big Data, Cloud, Blockchain, AI, ML, Web 3.0, архитектура, DevOps, CI/CD, Agile, UI/UX, качество кода.
🚩 В рамках мероприятия пройдут CTF-соревнования.
➡️ Call For Papers до 1 апреля включительно. Отличная возможность выступить и понетворкиться за пределами РФ. 😉 Ожидается 1000+ участников.
Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂
@avleonovrus #AppSecFest #Kazakhstan #Event
🔹 Sec Zone посвящена безопасности приложений: SAST, DAST, IAST, API, IaC, Cloud Security, Pentesting, Bug Bounty, Vault, WAF, Web 3.0 Security, Secure SDLC, DevSecOps, управление уязвимостями, угрозы, регуляторные требования, атака/защита приложений.
🔹 App Zone посвящена разработке ПО: Mobile, Web, X-Platform, Frontend/Backend, Microservices, Docker/K8s, Big Data, Cloud, Blockchain, AI, ML, Web 3.0, архитектура, DevOps, CI/CD, Agile, UI/UX, качество кода.
🚩 В рамках мероприятия пройдут CTF-соревнования.
➡️ Call For Papers до 1 апреля включительно. Отличная возможность выступить и понетворкиться за пределами РФ. 😉 Ожидается 1000+ участников.
Канал "Управление Уязвимостями и прочее" в информационных партнёрах мероприятия. 🙂
@avleonovrus #AppSecFest #Kazakhstan #Event