Управление Уязвимостями и прочее
7.63K subscribers
1.34K photos
6 videos
23 files
1.1K links
Анализ защищённости, безопасное конфигурирование ИТ-систем, автоматизация связанных процессов ИБ и другие интересные штуки.
Пишите в личку: @leonov_av
Download Telegram
13–14 марта пройдёт онлайн-конференция SafeCode 2024. Как понятно из названия, конференция в основном AppSec-овская. Но тут 2 момента:

🔸 Динамический и статический анализ кода это тоже часть Управления Уязвимостями (в широком смысле). 😏
🔸 В программе есть доклады, касающиеся работы и с известными уязвимостями.

Мне приглянулись вот эти:

🔹 Архивы уязвимостей и как их готовить. Андрей Кулешов, Huawei. "Поделится своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV".
🔹 Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось. Игорь Вербицкий и Александр Рахманный из Lamoda Tech. "Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации".

🫰 Конфа платная, зарегаться и купить билет можно тут.

🆓 Но часть докладов второго дня конференции будет доступна бесплатно:

🔻 «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» — Игорь Вербицкий, Александр Рахманный (Lamoda Tech)
🔻 «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора» — Аскар Добряков (К2 Кибербезопасность)
🔻 «Ответственное использование авторизационных токенов» — Кирилл Мухов (VK Tech)
🔻 «Как построить DevSecOps по ГОСТу» — Виталий Астраханцев (СберТех)
🔻 «Как аппсеки в Авито API собирали» — Александр Трифанов (Авито)

Регистрация открыта до 14 марта включительно.

@avleonovrus #SafeCode2024 #AppSec #event
Через 20 минут начинается SafeCode 2024. Уютный канальчик "Управление Уязвимостями и прочее" в информационных партнерах этого мероприятия. 🙂 Так что буду смотреть трансляцию и, возможно, что-то комментировать по ходу. На скриншотике доклады первого дня, которые я себе наметил на посмотреть.

@avleonovrus #SafeCode2024 #SafeCode #AppSec #event
Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hanging fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.

Были использованы утилиты:

🔻 WayBackTools - парсинг веб-кэша
🔻 httpx - проверка доступа
🔻 xurlfind3r - получение данных веб-кэша
🔻 BurpSuite - платформа для пентестинга веб-приложений
🔻 GAP - Burp app для получения параметров и ссылок из JS
🔻 Nuclei - сканер уязвимостей
🔻 Katana - веб-краулер

@avleonovrus #SafeCode #SafeCode2024 #AppSec #WebPentest #BugBounty #УЦСБ
У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков).

AppSec менеджеры
1. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
2. Уязвимость должна была быть исправлена в более позднем релизе.
3. Уязвимость не была критической.

CISO
1. Надеялись, что уязвимость не будет эксплуатабельной. 🤞
2. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
3. Уязвимость не была эксплуатабельной.

Разработчики
1. Уязвимость должна была быть исправлена в более позднем релизе.
2. Уязвимость не была критической.
3. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.

Варианты AppSec менеджеров и Разработчиков различаются только порядком. А вот CISO больше про реальную эксплуатабельность (чтобы это не привело к большому скандалу) и надежду на лучшее. 😏😅

@avleonovrus #Checkmarx #AppSec #fun
Основная фича грядущего июньского релиза MaxPatrol VM 2.5 - новый сканер веб-приложений. И здесь речь не только о детектах для известных CVE уязвимостей, например, для Confluence или GitLab, которые, безусловно, очень важны для любого VM-продукта, о чём я уже писал ранее. Речь о полноценном DAST-сканере уязвимостей, с такой же функциональностью как в решениях PT BlackBox и PT AI.

Вообще вопрос о месте DAST-сканирования WEB-приложений дискуссионный. Этим нужно заниматься в рамках инфраструктурного VM-а или в рамках процессов AppSec-а? Рассмотрим аргументы.

Аргументы за AppSec:

🔻 Таргеты различаются. DAST-ом обычно сканят собственные разработки, а не чужие (коммерческие и опенсурсные) продукты. Если собственная разработка, значит AppSec.
🔻 Таски на исправление найденных уязвимостей летят в разработчиков, а не в админов. Опять же, разработка = AppSec.
🔻 Если же сканировались чужие продукты и при этом были найдены уязвимости, то по-хорошему нужно довести эту инфу до вендора и не попасть при этом под какие-нибудь юридические ограничения (анализ приложения может быть запрещён в лицензионном соглашении). Эти активности также более привычны AppSec-ам.
🔻 Одного DAST-а для полноценного анализа приложений всё равно не хватит, нужен SAST, IAST. Давайте не будем заниматься ерундой и будем анализировать приложения полноценно в рамках процессов AppSec.

Аргументы за инфраструктурный VM:

🔹 Вот сканируем мы хост и видим там веб-сервис (нашу разработку или не нашу - не суть важно). Почему бы не проверить его на ту же XSS-ку? Как-то глупо ограничивать себя только детектом CVE-шных уязвимостей. Тем более, что AppSec-и могут этот веб-сервис своими процессами вообще не покрывать, а мы может что-то массовыми сканами и продетектим.
🔹 Вот выстроили мы в рамках инфраструктурного VM-а процесс по поиску и исправлению известных уязвимостей. Почему бы не переиспользовать его и для web-уязвимостей? И там уязвимости, и там уязвимости. Удобно ведь будет работать со всеми уязвимостями в рамках одной единой системы, разве нет? 😏

В общем, есть аргументы у обеих сторон. В реальных организациях скорее это зависит от развития AppSec и VM отделов, кто кого подомнёт. 🙂 Моё мнение, что сканить веб-приложения DAST-ом должны и AppSec-и, и инфраструктурные VM-щики. Хуже не будет. А база для хранения продетектированных уязвимостей должна быть у них, в идеале, единой.

Но как бы ни выглядел итоговый процесс, его можно будет реализовать с помощью продуктов Positive Technologies. 😉

➡️ Более подробно о фичах нового MaxPatrol VM 2.5, включая сканирование веб-приложений, можно будет узнать на вебинаре 13 июня в 14:00. Регистрируйтесь!

@avleonovrus #PositiveTechnologies #MaxPatrolVM #PTBlackBox #PTAI #AppSec #DAST #SAST #IAST
Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2). Продолжаю отсматривать выступление Романа Журавлева из TS Solution и Никиты Аристова из СберКоруса на конференции СФЕРА Cybersecurity. В прошлый раз остановились на кастомных виджетах.

📊 Кастомные виджеты. Разработали около 50 кастомных виджетов, которые позволяют отслеживать процессы, и чуть больше 100 PDQL-запросов.

🔹 На скриншоте видны однотипные виджеты "Статистика по аудиту" для разных групп активов (ARM онлайн за 7 дней, ARM, VDI, Windows Серверы, Сетевое оборудование, 2 замазанные группы по принадлежности к системам). Возможные значения: "Аудит не проводился", "Аудит в течение 7 дней", "Аудит старше 7 дней".
🔹 Также виден виджет "Доля активов с неустраняемой уязвимостью" со значениями "Активы с устраняемыми уязвимостями" и "Активы с неустраняемыми уязвимостями".

🥄 Ложка дёгтя - непобеждённая проблема. При серьёзной нагрузке выяснилось, что не справляется база данных PostgreSQL. Полной победы за год не достигли, как временное решение в 4 раза увеличили ресурсы. 🤷‍♂️

🚙 Прокачка MaxPatrol VM

"MaxPatrol VM как метафорические Жигули. Свою базовую функцию он выполняет: активы ищет, уязвимости рассчитывает. Но дальнейший процесс [тюнинга] никогда не закончится. Его абсолютно точно есть куда развивать, у него много возможностей. Дальше будет как превратить Жигули в Мерседес, при том что Мерседес для каждой компании будет свой".

[ От себя скажу: полностью согласен. Vulnerability Management - это прежде всего процесс выстроенный с использованием какого-либо продукта. Считать, что купил продукт и всё само заведётся, а в компании сам собой появится рабочий процесс довольно наивно. Нужно работать, затачивать его под себя. С другой стороны, базовую функциональность по работе с активами, уязвимостями, аналитике тоже недооценивать не следует. Если она в продукте так себе, то будет классическое "мусор на входе - мусор на выходе". ]

🔻 Показали схему Security Gate по выводу продуктов на периметр, включающий проверки AppSec (проверка кода) и инфраструктурного VM-а. Про то, что эти 2 направления имеют пересекающиеся функции в рамках, например, DAST сканирования, я писал ранее.
🔻 "В MaxPatrol VM неплохой модуль BI (Business intelligence)". Считают покрытие сканированиями, покрытие СЗИ (антивирусы и EDR для Linux и Windows), динамику уязвимостей за неделю.
🔻 Контроль активов: контроль работы служб СЗИ (запущена и добавлена в автозапуск), контроль состава установленного ПО (нелегитимное, нежелательное), дубликаты активов, переустановки ОС, SSH (контроль перевода на аутентификацию по ключам), свободное место на жёстких дисках (выгружают за 5 минут).
🔻 Контроль пользователей: привязка администраторской УЗ к АРМy, контроль сеансовой работы под УЗ с правами администратора (контроль активных пользователей; админская учётка должна использоваться только для повышения привилегий, а не для постоянной работы), контроль нелегитимных прав локального администратора (завели резервную учётку или временная учётка стала постоянной), смена пароля после киберучений (для попавшихся на учебные фишинговые рассылки).
🔻 Инциденты ИБ ("MaxPatrol VM - это осколок от MaxPatrol SIEM, какие-то инциденты можно смотреть в VM-е"): сотрудник снял образ своего АРМ-а и развернул виртуальный АРМ из образа на своём личном ноутбуке и с него работал (проверка по ID установки и является ли хост виртуалкой), подключение по RDP в обход PAM (контроль коммерческого SOC).

Заключительная третья часть будет про планы по развитию VM-процесса в СберКорусе.

upd. Третья заключительная часть

@avleonovrus #event #СФЕРАCybersecurity #СберКорус #TSSolution #PositiveTechnologies #MaxPatrolVM #BI #EDR #SIEM #AppSec #PAM #SOC
Заметки по сегодняшнему запуску MaxPatrol VM 2.5. MaxPatrol VM - cистема управления уязвимостями нового поколения, которая реализует полное построение VM-процесса: управление активами, детектирование, приоритизация и контроль устранения уязвимостей. Уже более 500 инсталляций и их число стремительно растёт. Главная цель MP VM - не допустить эксплуатацию уязвимости в инфраструктуре.

Чем этого добиваемся?

🔹 Полное покрытие периметра, ключевых и целевых систем.
🔹 Экспертиза Positive Technologies + кастомизация продукта ("Нельзя покрыть все потребности всех клиентов" -> "Дать возможности клиентам самим или с помощью интеграторов разрабатывать детекты") ⬅️ Имхо, про кастомизацию это тектонический сдвиг для отечественного VM-а.

Три главных нововведения:

1. Сканирование веб-приложений. Эксплуатация уязвимостей на периметре в ТОП 2 векторов проникновения по данным НКЦКИ. Для поиска уязвимостей веба раньше был нужен отдельный DAST-сканер (MP8, PT BlackBox), сейчас полноценное DAST-сканирование веб-приложений возможно делать прямо в MPVM. Функционально там тот же движок, что и в PT BlackBox.

🔩 Крутая фишка - интегрировали в MaxPatrol VM опенсурсный сканер уязвимостей Nuclei для валидации наличия уязвимостей, определенных баннерным детектом. Уязвимости, которые подтверждены нуклеем, рекомендуют исправлять в первую очередь, а остальные в плановом порядке.

Новый профиль сканирования Web Scan Optimal. Можно сканировать с аутентификацией.
Добавили новые системные дашборды: критически важные веб уязвимости на активах, Топ-20 уязвимых приложений.
Для веб-уязвимостей будут также работать политики, чтобы автоматически изменять их статус и отслеживать сроки исправления.
❗️При этом одного DAST-сканирования MaxPatrol VM недостаточно для защиты самописных веб-приложений: нужны анализаторы кода (PT AI) + Application Firewall (PT AF) + аудиты безопасности.

2. Кастомные комплаенс-проверки в HCC ("жить по своим требованиям"). Нужны если PT что-то не поддерживает или клиенты хотят сделать более расширенные проверки (сами или силами интеграторов).
Нужно подготовить 3 файла:
Файл 1 - значение параметра по умолчанию
Файл 2 - локализация требования
Файл 3 - исходный код требования

Можно экспортнуть имеющиеся требования, подредактировать и импортнуть обратно. Стандарт с требованиями можно редактировать как YAML.

3. Сканирование Docker. Раньше MaxPatrol не мог детектировать уязвимости в докер-контейнерах на Linux хостах - теперь может. Поддерживаются контейнеры на основе Ubuntu, Debian u Alpine Linux. По сути проваливаемся в контейнер и делаем те же детекты, что и на Linux хосте.

⚠️ Самое главное: никаких дополнительных лицензий не нужно! Если есть VM и HCC, просто обновляем и пользуемся!

Что ещё?

🔹 Мобильный сканер. Упростили перенос данных. Можно переносить результаты сканирования (а не активы). Задачи видны как импортированные.
🔹 Задачи на сканирование можно группировать по папкам (и запускать всю папку).
🔹 Можно ограничивать доступ к задачам на сканирование.
🔹 Технологические окна. "Запрещённое время сканирования". Задача ставится на паузу, после "просыпания" снова запустится сканирование с последнего хоста (сканирование хоста запустится заново).
🔹 Проверка транспортов и учётных записей. Можно выпустить отчёт по результатам сканирования.
🔹 У ручных задач выше приоритет, чем у запущенных по расписанию.
🔹 Теперь 20 потоков сканирования для одной задачи. Это настраивается в GUI и сбрасываться при обновлении не будет.
🔹 Топология в отдельной вкладке с возможностью переименования сетей.
🔹 Анализ топологий с компонентами связности.
🔹 Новые виджеты для HCC.
🔹 Глобальные исключения хостов из сканирования.
🔹 Новые отчёты по XLSX шаблону (можно делать свои).
🔹 Пентестовые проверки могут обновляться из облака (пакетная доставка). Раньше так доставлялись только аудитные.

Во второй части будет содержание Q&A.

Upd. Продолжение

@avleonovrus #PositiveTechnologies #MaxPatrolVM #PTBlackBox #PTAI #AppSec #DAST #SAST #IAST #Docker #HCC #Nuclei
Заметки по сегодняшнему запуску MaxPatrol VM 2.5, часть 2. Продолжаю делиться заметками.

Q&A сессия

🔹 Все стандарты CIS переносить не планируется. Будут курсы по продукту, чтобы можно было реализовать их самостоятельно в HCC.
🔹 Вся инфра в облаке? Ставьте MPVM в облако.
🔹 MaxPatrol VM Light будет - следите за обновлениями. 😉
🔹 Первое на что стоит смотрить при устранении уязвимостей - трендовые уязвимости
🔹 PT BlackBox отличается целевой аудиторией. У PT BlackBox целевая аудитория AppSec, а у MPVM - инфраструктурные VM-щики.
🔹 Лицензия на сканирования тратится, когда рассчитывается уязвимость для хоста.
🔹 Новый интенсив по MaxPatrol VM стартует в сентябре.
🔹 Сканировать web-таргеты правильнее по fqdn.
🔹 Настройка цепочек задач? В бэклоге.
🔹 Анализ мобильных устройств? Пока такого запроса нет, т.к. сложно патчить устройства.
🔹 Постановка задач IT? Пока интеграция с тикетницами через API, но следите за новостями. 😉
🔹 А если Nuclei не подтвердил? Будет просто показывать, что для уязвимости есть эксплоит.
🔹 Когда будет доступна новая версия? Можно завтра с утра, но рекомендуем ставить с понедельника.
🔹 Когда будет поддержка ИнфоТеКС? Есть в роадмапе. Есть сложности с получением рута. Вообще про российские решения: об уязвимостях нужно как-то узнать - вендоры должны где-то уязвимости публиковать (ИнфоТеКС тут молодцы)
🔹 Редактор кастомных требований в самом VM будет.
🔹 Тёмная тема будет с переездом на новый Angular.
🔹 Функционал очистки? В работе. Процессинг - зарелижен, Scans - в работе, TRM - для части есть.

@avleonovrus #PositiveTechnologies #MaxPatrolVM #CIS #MaxPatrolVMLight #AppSec #ИнфоТеКС #Nuclei
Про уязвимость Jetpack Navigation. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jetpack Navigation, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷‍♂️) и ограничились рекомендациями в документации. 😏

📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍

📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jetpack Navigation и могут быть уязвимы. Подробную статистику отдают на сайте.

Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jetpack Navigation и знают ли об этой уязвимости. 😉

Заодно подпишитесь на ТГ канал Mobile AppSec World - лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.

@avleonovrus #AppSec #Android #JetpackNavigation #PTSWARM #Stingray