В начале августа Qualys представили новые возможности по анализу уязвимостей самописных (First-Party) и опенсурсных приложений.
Вот, допустим, есть у вас в организации самописная софтина. Её пилят ваши разрабы. Естественно на основе опенсурса. Возможно ваши апсеки периодически проверяют её SAST-ом/DAST-ом и детектят-исправляют уязвимости. Но ваше VM-решение об этой софтине не знает и, соответственно, уязвимости для неё не детектирует. Более того, даже если вы знаете, что версии этой софтины <N содержат уязвимость (допустим, апсеки вам сказали), вы не можете засунуть это знание в ваше VM-решение, чтобы получить на выходе список уязвимых хостов. И приходится вам собирать эти уязвимые хосты какими-то сторонними способами, а не вашим дорогущим VM-решением. Плохо это? Плохо.
Или другой пример: Log4Shell. Там сотни наименований уязвимых софтов. Причём какие-то софты явно забыли и VM-решения в таких софтах Log4Shell не продетектируют. Как и в вашей доморощенной софтине, которая также использует Log4j. Получается такое детектить надо не от софта, а непосредственно от либы, jar-ники искать и анализировать каким-то сторонним решением. И эта активность тоже, получается идёт мимо вашего дорогущего VM-а. Плохо это? Плохо. Зачем VM брали-то тогда! 🙄😁
Что предлагает Qualys. Во всяком случае то, что я понял из достаточно пространной видяшки и поста.
1. Custom Assessment and Remediation (CAR), о котором я раньше уже писал. Это механизм для добавления собственных скриптовых детектов, в том числе на PowerShell и Python. Написали свой скрипт детекта (например по версиям, которые вам апсеки сказали), добавили в Qualys - получили уязвимые хосты. Такие уязвимости будут иметь QID и с ними можно работать как с уязвимостями, которые продетектил сам Qualys.
2. Runtime Software Composition Analysis (SCA). Это композиционный анализ. Во время сканирования на наличие уязвимостей детектируется не только сам софт и его версия, но и используемые этим софтом библиотеки.
"SCA сканирует уязвимости в компонентах с открытым исходным кодом, разработанных для Java, Go, .Net, Python, Node JS, Rust, Ruby, PHP и других. Добавление SCA расширяет возможности сканирования VMDR, добавляя более 13 000 новых сигнатур, охватывающих более 11 000 CVE."
Фактически это сводится к тому, что Qualys Agent бегает по файловой системе и ищет/анализирует файлики библиотек (в т.ч. Log4j). Это не супер-новшество. Такие детекты я давно видел в Microsoft Defender for Endpoint. Видимо это становится обязательной фичой.
В общем, VM-вендоры, присмотритесь к кейсам! Клиенты VM-вендоров, задавайте им неудобные вопросы! 😉
@avleonovrus #Qualys #CAR #SCA #Log4Shell #log4j
Вот, допустим, есть у вас в организации самописная софтина. Её пилят ваши разрабы. Естественно на основе опенсурса. Возможно ваши апсеки периодически проверяют её SAST-ом/DAST-ом и детектят-исправляют уязвимости. Но ваше VM-решение об этой софтине не знает и, соответственно, уязвимости для неё не детектирует. Более того, даже если вы знаете, что версии этой софтины <N содержат уязвимость (допустим, апсеки вам сказали), вы не можете засунуть это знание в ваше VM-решение, чтобы получить на выходе список уязвимых хостов. И приходится вам собирать эти уязвимые хосты какими-то сторонними способами, а не вашим дорогущим VM-решением. Плохо это? Плохо.
Или другой пример: Log4Shell. Там сотни наименований уязвимых софтов. Причём какие-то софты явно забыли и VM-решения в таких софтах Log4Shell не продетектируют. Как и в вашей доморощенной софтине, которая также использует Log4j. Получается такое детектить надо не от софта, а непосредственно от либы, jar-ники искать и анализировать каким-то сторонним решением. И эта активность тоже, получается идёт мимо вашего дорогущего VM-а. Плохо это? Плохо. Зачем VM брали-то тогда! 🙄😁
Что предлагает Qualys. Во всяком случае то, что я понял из достаточно пространной видяшки и поста.
1. Custom Assessment and Remediation (CAR), о котором я раньше уже писал. Это механизм для добавления собственных скриптовых детектов, в том числе на PowerShell и Python. Написали свой скрипт детекта (например по версиям, которые вам апсеки сказали), добавили в Qualys - получили уязвимые хосты. Такие уязвимости будут иметь QID и с ними можно работать как с уязвимостями, которые продетектил сам Qualys.
2. Runtime Software Composition Analysis (SCA). Это композиционный анализ. Во время сканирования на наличие уязвимостей детектируется не только сам софт и его версия, но и используемые этим софтом библиотеки.
"SCA сканирует уязвимости в компонентах с открытым исходным кодом, разработанных для Java, Go, .Net, Python, Node JS, Rust, Ruby, PHP и других. Добавление SCA расширяет возможности сканирования VMDR, добавляя более 13 000 новых сигнатур, охватывающих более 11 000 CVE."
Фактически это сводится к тому, что Qualys Agent бегает по файловой системе и ищет/анализирует файлики библиотек (в т.ч. Log4j). Это не супер-новшество. Такие детекты я давно видел в Microsoft Defender for Endpoint. Видимо это становится обязательной фичой.
В общем, VM-вендоры, присмотритесь к кейсам! Клиенты VM-вендоров, задавайте им неудобные вопросы! 😉
@avleonovrus #Qualys #CAR #SCA #Log4Shell #log4j
В блоге Qualys вышел занимательный пост про детектирование "глубоко встроенных уязвимостей" на примере недавней RCE в Apache Struts (CVE-2023-50164). Суть там в следующем:
1. Есть такие "глубоко встроенные уязвимости" (deep-embedded vulnerabilities) типа Log4Shell или RCE-шек в Apache Struts. Их недостаточно детектить просто по версиям пакетов, т.к. такие уязвимые либы и фреймворки могут встраиваться в самый разнообразный софт, в том числе и какой-то самописный, используемый только в вашей организации. Нужен комплексный подход к детектированию: по пакетам, через попытку активной эксплуатации и через композиционный анализ с помощью агентов. На последнем пункте наибольший акцент, т.к. это их относительно свежая фича - надо продвигать. 😏 Ещё отдельным пунктом идёт поиск в контейнерах, но в принципе это тот же поиск по пакетам и композиционный анализ.
2. Парочка проблем с композиционным анализом, которые есть у традиционных безагентных сканеров (потому что время сканирования одного хоста ограничено) и которые могут решаться с помощью агентов (работающих тихонько в фоне сколько потребуется):
🔹 Честный поиск по файловой системе find-ом будет занимать слишком много времени, что приводит к вынужденному ограничению глубины поиска или использованию стандартных директорий. А уязвимые компоненты могут засунуть куда угодно.
🔹 Детектирование активных процессов при помощи ps даст вам ситуацию только в моменте. А надо бы постоянно мониторить.
3. Довольно прикольная метафора композиционного анализа:
"В области обнаружения уязвимостей традиционные методы сродни навигации по городу по заранее заданным маршрутам. Эти маршруты могут охватывать главные улицы и известные районы, но не подходят для изучения каждого уголка города. Аналогично, традиционные методы обнаружения полагаются на стандартные каталоги и активные процессы, следуя заранее определенным путям, и поэтому могут не заметить уязвимости, скрытые в нетрадиционных местах.
Откройте для себя Qualys Software Composition Analysis (SwCA) , который революционизирует процесс обнаружения уязвимостей, применяя технику сканирования файловой системы. Этот метод аналогичен автомобилям Google Street View, которые тщательно проезжают по каждой улице, захватывая подробный вид всего городского пейзажа.
Точно так же, как автомобили Street View обеспечивают комплексное визуальное представление города, Qualys SwCA систематически просматривает файловую систему, не оставляя ни одной части неисследованной. Такой исчерпывающий подход гарантирует обнаружение уязвимостей независимо от их местоположения в цифровом городе. Подобно просмотру улиц, который фиксирует каждый угол и переулок, Qualys SwCA выявляет уязвимости, глубоко внедренные в сложные структуры каталогов, обеспечивая панорамное представление о программном ландшафте.
Аналогия распространяется и на идею полноты и точности. Подобно тому, как Street View стремится отразить истинное отражение реального мира, Qualys SwCA стремится обеспечить подлинное и полное представление программной среды. Всеобъемлющий характер обоих подходов гарантирует, что ничто не ускользнет от пристального внимания, предлагая уровень тщательности, которого с трудом достигают традиционные методы."
Ох уж этот чарующий аромат беспощадного американского маркетинга. ☕️😅 Но спору нет. Если есть возможность, то лучше не ограничиваться детектами только по пакетам, а смотреть вглубь и улучшать качество детектирования насколько это возможно. Ради этого, собственно, сканеры уязвимостей и покупают. 😉
@avleonovrus #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2
1. Есть такие "глубоко встроенные уязвимости" (deep-embedded vulnerabilities) типа Log4Shell или RCE-шек в Apache Struts. Их недостаточно детектить просто по версиям пакетов, т.к. такие уязвимые либы и фреймворки могут встраиваться в самый разнообразный софт, в том числе и какой-то самописный, используемый только в вашей организации. Нужен комплексный подход к детектированию: по пакетам, через попытку активной эксплуатации и через композиционный анализ с помощью агентов. На последнем пункте наибольший акцент, т.к. это их относительно свежая фича - надо продвигать. 😏 Ещё отдельным пунктом идёт поиск в контейнерах, но в принципе это тот же поиск по пакетам и композиционный анализ.
2. Парочка проблем с композиционным анализом, которые есть у традиционных безагентных сканеров (потому что время сканирования одного хоста ограничено) и которые могут решаться с помощью агентов (работающих тихонько в фоне сколько потребуется):
🔹 Честный поиск по файловой системе find-ом будет занимать слишком много времени, что приводит к вынужденному ограничению глубины поиска или использованию стандартных директорий. А уязвимые компоненты могут засунуть куда угодно.
🔹 Детектирование активных процессов при помощи ps даст вам ситуацию только в моменте. А надо бы постоянно мониторить.
3. Довольно прикольная метафора композиционного анализа:
"В области обнаружения уязвимостей традиционные методы сродни навигации по городу по заранее заданным маршрутам. Эти маршруты могут охватывать главные улицы и известные районы, но не подходят для изучения каждого уголка города. Аналогично, традиционные методы обнаружения полагаются на стандартные каталоги и активные процессы, следуя заранее определенным путям, и поэтому могут не заметить уязвимости, скрытые в нетрадиционных местах.
Откройте для себя Qualys Software Composition Analysis (SwCA) , который революционизирует процесс обнаружения уязвимостей, применяя технику сканирования файловой системы. Этот метод аналогичен автомобилям Google Street View, которые тщательно проезжают по каждой улице, захватывая подробный вид всего городского пейзажа.
Точно так же, как автомобили Street View обеспечивают комплексное визуальное представление города, Qualys SwCA систематически просматривает файловую систему, не оставляя ни одной части неисследованной. Такой исчерпывающий подход гарантирует обнаружение уязвимостей независимо от их местоположения в цифровом городе. Подобно просмотру улиц, который фиксирует каждый угол и переулок, Qualys SwCA выявляет уязвимости, глубоко внедренные в сложные структуры каталогов, обеспечивая панорамное представление о программном ландшафте.
Аналогия распространяется и на идею полноты и точности. Подобно тому, как Street View стремится отразить истинное отражение реального мира, Qualys SwCA стремится обеспечить подлинное и полное представление программной среды. Всеобъемлющий характер обоих подходов гарантирует, что ничто не ускользнет от пристального внимания, предлагая уровень тщательности, которого с трудом достигают традиционные методы."
Ох уж этот чарующий аромат беспощадного американского маркетинга. ☕️😅 Но спору нет. Если есть возможность, то лучше не ограничиваться детектами только по пакетам, а смотреть вглубь и улучшать качество детектирования насколько это возможно. Ради этого, собственно, сканеры уязвимостей и покупают. 😉
@avleonovrus #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2
Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤
00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤
@avleonovrus #ПрожекторПоИБ #SharePoint #Microsoft #CISAKEV #Сisco #CiscoCUC #GitLab #Ivanti #IvantiConnectSecure #IvantiPolicySecure #Juniper #JunOS #JWeb #Bosch #IOT #SmartHome #Confluence #Vulristics #LinuxPatchWednesday #Linux #Perl #ClamAV #SIEM #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2 #ChatGPT #ОреnАI #Роскомнадзор
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес (тем кто активно хейтил мой пост на эту тему - зацените, вполне возможно Антон и Лев критиковали мои предложения именно с ваших позиций; если нет, то оставьте коммент 😉), громкие критичные уязвимости, инциденты, интересные новости и статьи. А под конец выпуска Максим зачитал суровую рэпчину в свой новый микрофон. 😎🎤
00:00 Смотрим статистику по просмотрам и продолжение к "Двухфакторка рулит. GitLab - решето."
02:16 Обсуждаем художественную литературу: "Девушка с татуировкой дракона" Стиг Ларссон, романы Пелевина, "Задача трёх тел" Лю Цысинь, романы про попаданцев на AuthorToday
13:15 Импортозамещаем MS SharePoint
14:53 Импортозамещаем Cisco Unity Connection и обсуждаем использование решений из дружеских стран
20:34 Импортозамещаем GitLab и обсуждаем есть ли в этом смысл
24:16 Импортозамещаем Ivanti Connect Secure и Cisco AnyConnect
29:08 Мемасики
31:56 В Juniper-ах очередная preAuth RCE (CVE-2024-21591) с возможностью получить root-а на устройстве
34:10 Подмена прошивки в умном термостате Bosch BCC100 (CVE-2023-49722) и услуга VM-щик на час
38:06 Microsoft обвинила русских хакеров в атаке по своим системам
40:11 Очередная критичная RCE в Confluence (CVE-2023-22527)
41:43 Январский Linux Patch Wednesday
43:13 Лев комментирует пост Алекся Лукацкого: У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем
47:46 В блоге Qualys вышел занимательный пост про проблемы детектирования "глубоко встроенных уязвимостей"
50:05 Исследователь, который в прошлый раз взломал «Хонду», продолжает рассказывать о своих находках
52:29 Пришёл Максим с новым микрофоном
53:29 Студент сингапурского ВУЗа автоматизировал процесс взлома с использованием чат-бота ChatGPT
55:45 ОреnАI плотно работает с военными США над инструментами кибербезопасности
59:43 Роскомнадзор создаст базу данных геолокации отечественных IP-адресов
1:01:26 Суровая заключительная рэпчина от Mr. X 🎤
@avleonovrus #ПрожекторПоИБ #SharePoint #Microsoft #CISAKEV #Сisco #CiscoCUC #GitLab #Ivanti #IvantiConnectSecure #IvantiPolicySecure #Juniper #JunOS #JWeb #Bosch #IOT #SmartHome #Confluence #Vulristics #LinuxPatchWednesday #Linux #Perl #ClamAV #SIEM #Qualys #QualysSwCA #SCA #Apache #Struts #Struts2 #ChatGPT #ОреnАI #Роскомнадзор
YouTube
Прожектор по ИБ, выпуск №19 (22.01.2024): VM-щик на час и это печать
🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес…
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Антон Bo0oM 💣 Лопаницын, "Кавычка"
Снова в усиленном составе. В этом выпуске обсуждали художественную литературу 🧐📕, импортозамес…