Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.
На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."
Светлана Надеждина:
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.
То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.
Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.
А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.
Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!
@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE
YouTube
"С сетевым периметром всё как бы просто, но не совсем..." Руководитель IT и новый VM-щик.
С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.
Часть проектов…
Посмотрел интервью Дугина Карлсону. Интервью на 20 минут. Основная идея Дугина, в том, что современный западный (нео)либерализм сформировался в результате поступательного движения к всё более экстремальным формам индивидуализма путём поэтапного избавления от всех традиционных форм групповой идентичности: религии, имперского сознания, национального государства, семьи, ориентации, пола. Следующий шаг это переход от "gender optional" к "human optional" через трансгуманизм, роботизацию и сильный ИИ. А Россия представляет этому альтернативу.
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
И тут бы Карлсону подловить Дугина и спросить: значит ли это, что в России не будет сильного ИИ, роботизации и трансгуманизма (хотя бы в форме продвинутого протезирования)? 🙂 Но нет. 🤷♂️
Имхо, зря Дугин всё к технологиям сводит, т.к. и сильный ИИ, и роботы, и импланты, и прочая дополненная реальность в России, разумеется, будут ничуть не в меньшей степени, чем на Западе. И традиционализм технологическому развитию не мешает.
@avleonovrus #offtopic #Dugin #transhumanism
Дугин луддит? Чтобы дополнить предыдущий пост посмотрел часть "Эмпатии Манучи" с Дугиным месячной давности. Там ему вопрос "в России не будет сильного ИИ, роботизации и трансгуманизма?" тоже не задали, но он подробно поясняет почему это плохо:
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai
🔻 (цитирует Хайдеггера) "В технике как таковой заложен фундаментальный подвох: когда человек перестаёт трогать рукой дерево, воду, землю, хлеб, врага, ставит между ними определенный инструмент (самый простой), то он сам утрачивает в этот момент человечность". 👉🌳
🔻 "Техника как таковая есть абсолютное проклятие нашего рода, это чистое метафизическое зло". 🙄
🔻"Техника должна быть под контролем духа, иначе она превращается в зверя, дьявола, нового господина, нового субъекта". 👌
🔻 "Искусственный интеллект это рукотворный дьявол". 👨💻
Философы это вам не технари. 😅 В сухом остатке: будет у нас тоже самое, что и на Западе, но белое, пушистое и "закрепощённое". Нужно только "изгнать из Искусственного Интеллекта западного дьявола". 😉
@avleonovrus #offtopic #Dugin #ai
Курьёзней трендовой январской уязвимости в GitLab, позволяющей восстанавливать пароль от аккаунта на левый email (CVE-2023-7028), только то, что в CISA заметили признаки активной эксплуатации этой уязвимости через 3,5 месяца после её публикации и появления тривиального эксплоита. 🐢 Если верить Shadowserver, то сейчас в России больше всего в мире уязвимых GitLab хостов доступных из Интернет (367). На втором месте США (356), а далее Китай (350).
@avleonovrus #CISA #GitLab #CISAKEV #Shadowserver
@avleonovrus #CISA #GitLab #CISAKEV #Shadowserver
Посмотрел выпуск подкаста КиберДуршлаг с Алексеем Лукацким. У Алексея Викторовича очень необычный взгляд на вопросы Vulnerability Management-а и мастерские формулировки. 👍🙂📝 Отметил для себя 3 темы, которые было бы интересно подробнее разобрать:
🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.
🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?
🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?
"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄
@avleonovrus #КиберДуршлаг #PositiveTechnologies #VulnerabilityManagement #VMProcess #Cloud #VulnReporting
🔻 VM и облачные SaaS-провайдеры. Как контролировать, что провайдер имеет адекватный VM-процесс (да и вообще ИБ) у себя, учитывая, что в случае инцидента отвечать будет не провайдер, а клиент-жертва.
🔻 Статьи о гос. измене / шпионаже (УК РФ 275, 276) и репортинг уязвимостей зарубежным вендорам, организациям и базам уязвимостей. Насколько реальна опасность для исследователя, как поступать правильно и безопасно?
🔻VM-вендорам интересно поддерживать не все продукты. Что делать клиентам (навскидку: пушить VM-вендора, пилить свои детекты, выбирать решения с учётом возможностей VM)?
"Патчить абсолютно всё невозможно и безыдейно" меня, конечно, триггернуло. 🙄
@avleonovrus #КиберДуршлаг #PositiveTechnologies #VulnerabilityManagement #VMProcess #Cloud #VulnReporting
Получил сертификат о прохождении бесплатного онлайн-курса по тестированию защищённости и применению Сканер-ВС 6 от учебного центра «Эшелон». Готичненький такой. 🙂👍 Для получения сертификата нужно было сдать итоговый тест с первой попытки. Тест прикольный, больше всего понравились вопросы про Metasploit, Nmap и Netcat.
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #Metasploit #Nmap #Netcat #Certificate
@avleonovrus #Echelon #ScannerVS #ScannerVS6 #Metasploit #Nmap #Netcat #Certificate
4 RCE в оборудовании HPE Aruba Networking. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS - это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics
Все 4 уязвимости эксплуатируются через запросы к Process Application Programming Interface (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.
Уязвимые продукты:
🔻 Mobility Conductor (formerly Mobility Master)
🔻 Mobility Controllers
🔻 Aruba Central manages WLAN Gateways and SD-WAN Gateways
Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.
Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aruba, пока не появились публичные эксплоиты. 😉
@avleonovrus #Aruba #HPE #Vulristics
Выступление и дискуссия на PHDays 2024. В этом году я заявил на CFP рассказ про кризис в NVD (честно говоря, я предполагал, что к маю он закончится, но куда там 🌝) и развитие ресёрча уникальных уязвимостей БДУ. 👨💻
Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤
Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:
🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷♂️
🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?
🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?
В общем, приходите, должно получиться интересно. 🙂
@avleonovrus #phd2024 #phd2 #БДУ #ФСТЭК #NVD #event
Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤
Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:
🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷♂️
🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?
🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?
В общем, приходите, должно получиться интересно. 🙂
@avleonovrus #phd2024 #phd2 #БДУ #ФСТЭК #NVD #event
Более 826 новых уязвимостей добавили в NVD за один день 3 мая. Картинка из сервиса CVE.icu, который визуализирует изменения NVD. Также есть выгрузка этих уязвимостей. Большую часть из них, 709, добавили ZDI. А чего это они вдруг? 🤔
В ноябре прошлого года у меня был пост, что ряд трендовых уязвимостей, которые репортили ZDI, отображаются в NVD как "CVE ID Not Found". Так вот, похоже гении из Trend Micro ZDI наконец обратили внимание на то, что их CVE-шки до NVD не доходят и решили это пофиксить таким вот массовым импортом проблемных CVEшек. 🤷♂️ При этом наглядно продемонстрировав масштаб бедствия. 🙂
Не, ну так-то лучше поздно, чем никогда. Но задержку между заведением ZDI-CAN идентификатора и появлением уязвимости в NVD теперь будет занятно посчитать. 😏 Например, для эксплуатируемой в фишинговых атаках RCE - WinRAR CVE-2023-40477 она составила 260 дней. 🤠
PS: окончательная цифра за 3 мая - 847 CVE, но не суть.
@avleonovrus #NVD #ZDI #thoseamericans #CVEicu
В ноябре прошлого года у меня был пост, что ряд трендовых уязвимостей, которые репортили ZDI, отображаются в NVD как "CVE ID Not Found". Так вот, похоже гении из Trend Micro ZDI наконец обратили внимание на то, что их CVE-шки до NVD не доходят и решили это пофиксить таким вот массовым импортом проблемных CVEшек. 🤷♂️ При этом наглядно продемонстрировав масштаб бедствия. 🙂
Не, ну так-то лучше поздно, чем никогда. Но задержку между заведением ZDI-CAN идентификатора и появлением уязвимости в NVD теперь будет занятно посчитать. 😏 Например, для эксплуатируемой в фишинговых атаках RCE - WinRAR CVE-2023-40477 она составила 260 дней. 🤠
PS: окончательная цифра за 3 мая - 847 CVE, но не суть.
@avleonovrus #NVD #ZDI #thoseamericans #CVEicu
Детектирование известных (CVE, БДУ) уязвимостей без аутентификации (в режиме "Пентест"): излишество или необходимость? Есть такое мнение, что при детектировании уязвимостей внутренней инфраструктуры сканировать без аутентификации не нужно вовсе. Что достаточно расставить агенты по хостам. А те хосты, куда агенты установить нельзя, например сетевые устройства, достаточно сканировать с аутентификацией. Дескать сканы без аутентификации всегда менее достоверны, чем сканы с аутентификацией, и нужны они только для сканирования периметра или первичной инвентаризации сети. На мой взгляд, это не совсем правильно. Сканировать без аутентификации на наличие известных уязвимостей, обязательно нужно, особенно в случае хостов с веб-приложениями.
И связано это именно с особенностями детектирования уязвимостей при сканировании с аутентификацией. Возьмём Linux-хосты. Как правило, VM-вендоры при сканировании Linux-хостов с аутентификацией ограничиваются детектированием уязвимостей в пакетах из официального репозитория Linux-вендора. 🤷♂️ Просто потому, что эти уязвимости описываются в общедоступных бюллетенях безопасности или даже в виде формализованного OVAL-контента. Удобно. Научился работать с этим контентом и можно ставить галочку, что Linux-дистриб поддерживается VM-решением. А как насчёт уязвимостей софта, который отсутствует в официальном репозитории Linux-вендора? Вот тут всё сложнее.
Такой софт может быть установлен:
🔹 Из подключенного стороннего репозитория
🔹 Из пакета (вендорского или самосборного) стандартной пакетной системы дистрибутива (deb, rpm), который принесли на хост ручками
🔹 Из альтернативных пакетов для распространения софта (snap, flatpak, appimage и т.д.)
🔹 Из средств распространения модулей (pip, conda, npm и т.д.)
🔹 Из образа контейнера (docker, podman и т.д.)
🔹 Из исходников софта, при этом сборка софта может происходить на том же хосте или собранный софт может быть перенесён в виде бинарных файлов
В идеале, независимо от способа установки софта на хосте, сканер уязвимостей должен его корректно продетектировать, определить его версию, а по версии определить связанные уязвимости. 🧙♂️ Но на практике, из-за того что способов установки софта множество, это весьма нетривиальная задача. 🧐
В итоге мы получаем ситуацию: допустим, у нас есть какой-то коммерческий или опенсурсный софт на Linux-хосте (Zabbix, GitLab, Confluence, Jira). Рыская по хосту по SSH этот софт не так-то просто надёжно найти. А при взгляде на хост извне, он ищется тривиально: сканируем порты, находим web-GUI, зачастую на главной странице находим версию и по ней детектируем уязвимости. При этом мы вообще не зависим от конкретного способа установки и запуска софта на хосте. Главное, что мы сам веб-интерфейс приложения видим. 🤩
Такие "внешние" правила детектирования уязвимостей и самим гораздо проще разрабатывать, и открытой экспертизой можно воспользоваться. Фингерпринтинг для получения CPE в сочетании с поиском в NVD по CPE это, конечно, грязный способ. Зато массовый. 😏 И если грамотно подтачивать и фингепринтилку, и правила детектирования по CPE, то и количество фолзов можно уменьшить до приемлемого уровня. А если ещё и добавить валидацию с помощью проверок с попыткой эксплуатации уязвимости (подтянуть nuclei тот же), то значительный набор уязвимостей можно будет детектировать более чем надежно. 😉
В общем, "пентест"-сканирование для определения известных уязвимостей - must have и для внутрянки тоже, особенно для веб-приложений.
@avleonovrus #VMprocess #Linux #WebApp #CPE #NVD #nuclei
И связано это именно с особенностями детектирования уязвимостей при сканировании с аутентификацией. Возьмём Linux-хосты. Как правило, VM-вендоры при сканировании Linux-хостов с аутентификацией ограничиваются детектированием уязвимостей в пакетах из официального репозитория Linux-вендора. 🤷♂️ Просто потому, что эти уязвимости описываются в общедоступных бюллетенях безопасности или даже в виде формализованного OVAL-контента. Удобно. Научился работать с этим контентом и можно ставить галочку, что Linux-дистриб поддерживается VM-решением. А как насчёт уязвимостей софта, который отсутствует в официальном репозитории Linux-вендора? Вот тут всё сложнее.
Такой софт может быть установлен:
🔹 Из подключенного стороннего репозитория
🔹 Из пакета (вендорского или самосборного) стандартной пакетной системы дистрибутива (deb, rpm), который принесли на хост ручками
🔹 Из альтернативных пакетов для распространения софта (snap, flatpak, appimage и т.д.)
🔹 Из средств распространения модулей (pip, conda, npm и т.д.)
🔹 Из образа контейнера (docker, podman и т.д.)
🔹 Из исходников софта, при этом сборка софта может происходить на том же хосте или собранный софт может быть перенесён в виде бинарных файлов
В идеале, независимо от способа установки софта на хосте, сканер уязвимостей должен его корректно продетектировать, определить его версию, а по версии определить связанные уязвимости. 🧙♂️ Но на практике, из-за того что способов установки софта множество, это весьма нетривиальная задача. 🧐
В итоге мы получаем ситуацию: допустим, у нас есть какой-то коммерческий или опенсурсный софт на Linux-хосте (Zabbix, GitLab, Confluence, Jira). Рыская по хосту по SSH этот софт не так-то просто надёжно найти. А при взгляде на хост извне, он ищется тривиально: сканируем порты, находим web-GUI, зачастую на главной странице находим версию и по ней детектируем уязвимости. При этом мы вообще не зависим от конкретного способа установки и запуска софта на хосте. Главное, что мы сам веб-интерфейс приложения видим. 🤩
Такие "внешние" правила детектирования уязвимостей и самим гораздо проще разрабатывать, и открытой экспертизой можно воспользоваться. Фингерпринтинг для получения CPE в сочетании с поиском в NVD по CPE это, конечно, грязный способ. Зато массовый. 😏 И если грамотно подтачивать и фингепринтилку, и правила детектирования по CPE, то и количество фолзов можно уменьшить до приемлемого уровня. А если ещё и добавить валидацию с помощью проверок с попыткой эксплуатации уязвимости (подтянуть nuclei тот же), то значительный набор уязвимостей можно будет детектировать более чем надежно. 😉
В общем, "пентест"-сканирование для определения известных уязвимостей - must have и для внутрянки тоже, особенно для веб-приложений.
@avleonovrus #VMprocess #Linux #WebApp #CPE #NVD #nuclei
Вчера Qualys представили CyberSecurity Asset Management 3.0. В названии решения значится "Asset Management", но само решение сразу презентуется нам как "переопределение управления поверхностью атаки" , т.е. EASM. Такая вот гартнеровская маркетинговая мешанина. 🤷♂️ При этом, у Qualys действительно достаточно необычный Asset Managementи и EASM. И необычно как они к этому пришли. Тут, естественно, исключительно мои впечатления как стороннего наблюдателя, никакого инсайда у меня нет.
🔹 В 2020 году Qualys представили решение Global AssetView. Если упрощённо, то пользователи могли бесплатно раскатать облачные агенты Qualys на известные в инфре хосты, развернуть Qualys Passive Sensor для поиска неизвестных активов по трафику и получить некоторое базовое представление о составе инфры и её состоянии (без расчета уязвимостей). Такое Freemium предложение, с которого можно было бы удобно апселить основную функциональность Vulnerability Management и Compliance Management. Ход весьма и весьма смелый.
🔹 В 2021 году как развитие Global AssetView появился продукт CyberSecurity Asset Management. Это уже был заход в полноценное Управление Активами: двусторонняя синхронизация с CMDB ServiceNow, учёт критичности активов, учёт ПО, оценка поверхности атаки при помощи Shodan (последнее тогда не особенно подчёркивали). Насколько я могу понять, изначальная цель CSAM была в том, чтобы отслеживать кейсы, которые влияют на безопасность активов, но уязвимостями, строго говоря, не являются: shadow IT, хосты с подходящими end-of-life (EoL)/end-of-support (EoS), хосты без установленных EDR, рискованные порты опубликованные в Интернет, мисконфигурации софта и сервисов.
🔹 В 2022 Qualys выпустили CyberSecurity Asset Management 2.0 с интегрированным решением по контролю внешней поверхности атаки (EASM). Сама идея, что EASM можно развивать и продавать в рамках решения по Управлению Активами весьма необычная. Но логика в этом есть. Уменьшение поверхности атаки это не про то, что нужно пропатчить тот или иной торчащий наружу сервер, а про то, что какого-то торчащего наружу старья вообще не должно быть ("if an externally facing asset or its configuration is not necessary for the business, then it should be shut down"). И вот с этой точки зрения EASM это действительно не столько периметровый сканер, сколько хитрая штуковина, которая накидывает неочевидные активы, с некоторой вероятностью относящиеся к компании, и показывает риски с ними связанные. 🐇 🎩 Часть управления активами? Ну видимо да.
Таким образом, насколько я понимаю, сейчас у Qualys есть VMDR (Vulnerability Management, Detection and Response), который включает в себя CSAM (CyberSecurity Asset Management ), который включает в себя EASM (External Attack Surface Management). Такая вот матрёшка. 🪆
А что же в версии CSAM 3.0?
🔻 Убрали упоминания Shodan. "CSAM 3.0 использует новую систему оценки атрибуции и расширяет использование технологий с открытым исходным кодом и собственного интернет-сканера для обеспечения точного обнаружения, атрибуции и оценки уязвимостей" . При атрибуции актива отображаются показатели достоверности (можно по ним фильтровать).
🔻Используются возможности детектирования активов Cloud Agent Passive Sensing (хостовые агенты, снифающие трафик - я о них уже писал)
🔻Коннекторы для интеграции с источниками данных об активах (анонсированы коннекторы для Active Directory и BMC Helix). Видимо раньше интеграции с AD не было. 🤷♂️
@avleonovrus #Qualys #CSAM #EASM #AssetView #Shodan #AssetManagement
🔹 В 2020 году Qualys представили решение Global AssetView. Если упрощённо, то пользователи могли бесплатно раскатать облачные агенты Qualys на известные в инфре хосты, развернуть Qualys Passive Sensor для поиска неизвестных активов по трафику и получить некоторое базовое представление о составе инфры и её состоянии (без расчета уязвимостей). Такое Freemium предложение, с которого можно было бы удобно апселить основную функциональность Vulnerability Management и Compliance Management. Ход весьма и весьма смелый.
🔹 В 2021 году как развитие Global AssetView появился продукт CyberSecurity Asset Management. Это уже был заход в полноценное Управление Активами: двусторонняя синхронизация с CMDB ServiceNow, учёт критичности активов, учёт ПО, оценка поверхности атаки при помощи Shodan (последнее тогда не особенно подчёркивали). Насколько я могу понять, изначальная цель CSAM была в том, чтобы отслеживать кейсы, которые влияют на безопасность активов, но уязвимостями, строго говоря, не являются: shadow IT, хосты с подходящими end-of-life (EoL)/end-of-support (EoS), хосты без установленных EDR, рискованные порты опубликованные в Интернет, мисконфигурации софта и сервисов.
🔹 В 2022 Qualys выпустили CyberSecurity Asset Management 2.0 с интегрированным решением по контролю внешней поверхности атаки (EASM). Сама идея, что EASM можно развивать и продавать в рамках решения по Управлению Активами весьма необычная. Но логика в этом есть. Уменьшение поверхности атаки это не про то, что нужно пропатчить тот или иной торчащий наружу сервер, а про то, что какого-то торчащего наружу старья вообще не должно быть ("if an externally facing asset or its configuration is not necessary for the business, then it should be shut down"). И вот с этой точки зрения EASM это действительно не столько периметровый сканер, сколько хитрая штуковина, которая накидывает неочевидные активы, с некоторой вероятностью относящиеся к компании, и показывает риски с ними связанные. 🐇 🎩 Часть управления активами? Ну видимо да.
Таким образом, насколько я понимаю, сейчас у Qualys есть VMDR (Vulnerability Management, Detection and Response), который включает в себя CSAM (CyberSecurity Asset Management ), который включает в себя EASM (External Attack Surface Management). Такая вот матрёшка. 🪆
А что же в версии CSAM 3.0?
🔻 Убрали упоминания Shodan. "CSAM 3.0 использует новую систему оценки атрибуции и расширяет использование технологий с открытым исходным кодом и собственного интернет-сканера для обеспечения точного обнаружения, атрибуции и оценки уязвимостей" . При атрибуции актива отображаются показатели достоверности (можно по ним фильтровать).
🔻Используются возможности детектирования активов Cloud Agent Passive Sensing (хостовые агенты, снифающие трафик - я о них уже писал)
🔻Коннекторы для интеграции с источниками данных об активах (анонсированы коннекторы для Active Directory и BMC Helix). Видимо раньше интеграции с AD не было. 🤷♂️
@avleonovrus #Qualys #CSAM #EASM #AssetView #Shodan #AssetManagement