Буду завтра читать лекцию по Управлению Уязвимостями в Физтехе. Уже во второй раз, первый был 5 лет назад. На этот раз удалённо. По случаю обновил учебную презентацию. В отличие от материала для Бауманского курса, выделил 4 примерно равные части:

🔹 Анализ Защищённости - уязвимости и детект уязвимостей
🔹 Управление Активами - избавляемся от хаоса в инфраструктуре
🔹 Управление Уязвимостями - построение процесса с фокусом на приоритизацию уязвимостей
🔹 Управление Обновлениями - всё, что касается исправления уязвимостей и взаимоотношений с IT

В основном переработал Управление Активами и Управление Уязвимостями. Кажется, получилось неплохо сопрячь РезБез/PTшный подход, методические указания регуляторов и собственные соображения. Пойдёт и для гостевых лекций, и понятно как это с пользой расширить до 4 отдельных лекций (а то и побольше). Доволен. 🙂

Кстати, Физтех под санкциями ЕС, США, Великобритании, Японии, Швейцарии и Новой Зеландии. Достойное заведение. 🙂👍

@avleonovrus #PhysTech #Education #VMprocess

Лекцию в Физтехе успешно отчитал. Но без косяков не обошлось. 😅 В основном из-за того, что это был онлайн.

🔹 Во-первых, соседи снизу решили прекрасным субботним утром посверлить монолит.👷‍♂️ Поэтому приходилось несколько раз прерываться, чтобы всей аудиторией послушать чарующие звуки перфоратора. 🤦‍♂️

🔹 Во-вторых, как видно на фото, моя физиономия всё время была на экране, слайдам оставалось мало места и текст на них, видимо, плохо читался, особенно с задних рядов. 🔍🤷‍♂️

Онлайн это очень удобно для спикера. Не нужно никуда ехать, можно выспаться, нет возни с заказом пропуска и т.д. 😇 Но с другой стороны, вероятность накладок выше. Будем иметь в виду.

В остальном же прошло удачно. Рассказывал вполне связно, фидбек был позитивный. Опять же, прибавилось 8 новых подписчиков из числа студентов и канал уверенно перевалил за 3000. Ура! 🥳

@avleonovrus #Education #PhysTech #дыбр

11 ноября стартует ещё один онлайн-курс по Управлению Уязвимостями, на этот раз от компании Инсека. Продлится он 6 недель. Обещают 30 часов теории, 30 часов практики, стоимость удовольствия 64 800 ₽.

Судя по общему описанию модулей, из практики будет подробно про CVSS, эксплуатацию EternalBlue, сканирование инфры с помощью Nessus Essentials, сканирование веб-приложения с помощью Acunetix, сканирование периметра с помощью Metascan, экспорт данных из Vulners API для приоритизации уязвимостей. По теории вроде все основные темы заявлены. Про ФСТЭК-овские методики аж 1,5 модуля. 👍 На мой вкус было бы неплохо побольше добавить про Asset Management (про критичность активов вижу только в 5.1) и согласование безусловных регулярных обновлений.

Бесплатно дают доступ к 4 урокам: про публичные источники данных об уязвимостях (увидел там скриншот с моим телеграмм-каналом - приятно 😊), различные виды сканирований (внешнее, внутреннее, в режиме белого и чёрного ящика), лаба на сканирование уязвимостей (образы для VirtualBox c Nessus Essentials и Windows-таргетом дают готовые; по итогам нужно скинуть результаты детекта), особенности сканирования внешнего периметра и веб-приложений.

В целом, выглядит как вполне неплохой начальный курс для вкатывания в тему Vulnerability Management-а. Без особой жести и нагрузки. И вендерно-нейтральный. Почитать, потыкать лабы, понять нравится таким заниматься или не особо. Ну или как повод освежить знания и получить сертификат тоже почему бы и нет. 😉 Говорят, что самое эффективное обучение, когда большая часть материала вам уже знакома. Nessus Essentials с ограничением на 16 IP-адресов и без комплаенс-сканов это, конечно, совсем не для реальной жизни. Да и все продукты Tenable и Acunetix сейчас в России не особо актуальны. Но для учебных целей, в качестве первого опыта, почему бы и нет. А Metascan и Vulners это вполне себе практически полезные инструменты.

Если дадут доступ курсу, то тоже пройду и поделюсь впечатлениями. Мне это в первую очередь интересно со стороны "как люди учат VM-у", но вполне возможно почерпну там что-то такое, с чем раньше не сталкивался. 🙂

Больше курсов по Vulnerability Management-у хороших и разных!

@avleonovrus #Inseca #Education #VMprocess #CVSS #EternalBlue #Nessus #NessusEssentials #Tenable #Acunetix #Vulners #VirtualBox #VirtualBox #Metascan #FSTEC #ФСТЭК

Под конец недели пришла в голову идея игрушки-обучалки по Vulnerability Management-у. Рабочее название "Бесконечный VM". 😁 По сюжету Олег Иванович Игнатов устраивается на работу в компанию ООО "ГазБанкСервис" и получает от своей начальницы, Анны Михайловны Смирновой, задачу - внедрить в организации Vulnerability Management процесс.

Как вам? Поиграли бы в такое?

@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM

Выпустил ролик на 12 минут по итогам октября для своих англоязычных ресурсов. Интенсивный и интересный месяц был. Я вышел на новую работу, активно дорабатывал Vulristics, запустил Linux Patch Wednesday (пока не получил значительного отклика, но вижу здесь перспективы), традиционно проанализировал Microsoft Patch Tuesday, разобрался с кучей других уязвимостей и даже тему с обучением VM-у дальше продвинул. И ноябрь тоже бурно начался. Посмотрим, что в итоге выйдет. 🙂

---

Hello everyone! October was an interesting and busy month for me. I started a new job, worked on my open source Vulristics project, and analyzed vulnerabilities using it. Especially Linux vulnerabilities as part of my new Linux Patch Wednesday project. And, of course, analyzed Microsoft Patch Tuesday as well. In addition, at the end of October I was a guest lecturer at MIPT/PhysTech university.

00:29 Back to Positive Technologies
00:59 Vulristics NVD Data Source
02:20 Vulristics Custom Data Source
03:22 Linux Patch Wednesday Project
04:16 Linux Patch Wednesday October 2023
05:49 Microsoft Patch Tuesday October 2023
09:12 Other Vulnerabilities October 2023
10:14 Miercom released a report "Vulnerability Management Competitive Assessment"
10:54 Vulners presented AI Score v2
11:31 My PhysTech Lecture

🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost

@avleonovrus #LinuxPatchWednesday #VulnerabilityManagement #PatchTuesday #API #AriaOperations #Assetnote #Chromium #Citrix #CitrixBleed #curl #CustomDataSource #Education #Exchange #glibc #Golang #HTTP2 #JetBrains #libvpx #Linux #MessageQueuing #Microsoft #NetScaler #NIST #NVD #OVAL #PhysTech #PositiveTechnologies #sessionhijacking #Skype #Squid #TeamCity #vCenter #VMprocess #VMware #Vulristics #Win32k #WordPad

Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM. Записали новый эпизод с небольшим опозданием, но в усиленном составе:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику по просмотрам. Меньше 100 просмотров за неделю не набрали - печаль. 😔
02:33 Лев сходил на конференцию Норникеля "обратного типа", где ему подарили табличку, а также провёл бесплатную ПоИБэшечку
09:29 RCE и SQLi в F5 BIG-IP. "Не суй наружу свой TMUI"
12:34 Опрос "Что вы используете в качестве балансировщика нагрузки в вашей организации (в России)?"
19:13 Атаки на Госуслуги в Германии и России. У нас-то получше ситуация
20:23 Вайпилка для Confluence
25:35 RCE в Apache ActiveMQ
27:55 У Битрикс обнаружили 8 уязвимостей, в их числе RCE
31:14 Активность небезызвестного ботнета Mozzi ушла в небытие
32:34 Более 40 стран навсегда откажутся от уплаты выкупов хакерам-вымогателям
36:10 Мем недели: Решил выпускник ВУЗа выбрать, каким направлением ИБ он будет заниматься...
38:00 Аниме-новелла про Управление Уязвимостями? Обсуждаем, что бы это могла быть за игра, выбираем варианты на первом "скриншоте", приглашаем поучаствовать в разработке 😉
46:16 Скарлетт Йоханссон судится с разработчиками приложения, использовавшего ее голос без разрешения
49:50 Прощание от Максима Хараска и лучи добра для chaikae!

@avleonovrus #ПрожекторПоИБ #Норникель #ПоИБэшечка #F5 #BigIP #loadbalancer #Confluence #Apache #ActiveMQ #Bitrix #anime #game #education #VMprocess #EverlastingVM

Ещё один экран Бесконечного VM-а. Как и обещал в прошлом Прожекторе, выкладываю. 🙂 Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.

На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации.

@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter

Прожектор по ИБ, выпуск №11 (12.11.2023): не верь описаниям, периметр и Аврора для физиков. Записали очередной эпизод нашего еженедельного подкаста. В этот раз записывали таким составом:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику
02:29 Как Лев съездил на Цифротех
07:52 Не верь описанию уязвимости - может внезапно поменяться (на примере недавней Improper Authorization в Confluence CVE-2023-22518)
11:36 Специалисты из Check Point Research раскрыли уязвимость в Microsoft Access, которая может быть использована злоумышленниками для получения NTLM-токенов пользователя Windows
15:31 Парочка занимательных аномалий из National Vulnerability Database
18:27 Про возраст уязвимости и её трендовость
29:38 Ещё один экран Бесконечного VM-a про сетевой периметр
40:05 Делюсь впечатлениями от покупки первого смартфона на Авроре для физиков
55:19 В преддверии Черной пятницы число веб-атак на ретейл России возросло на 50%
57:27 Минцифры России запускает второй этап программы bug bounty, распространив ее на все ресурсы и системы электронного правительства
01:00:47 В Южной Корее робот насмерть прижал мужчину
01:06:11 Иван рекомендует книгу "How vCISOs, MSPs and MSSPs Can Keep their Customers Safe from Gen AI Risks"
01:10:21 Прощание от Льва

@avleonovrus #ПрожекторПоИБ #Цифротех #Atlassian #Colfluence #ImproperAuthorization #MicrosoftAccess #NVD #ZDI #Exim #WinRAR #BDU #FSTEC #TrendVulns #Conficker #RPC #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #blackfriday #Минцифры #bugbounty #AuroraOS #ОМП #Fplus #R570E

Отчитал лекцию по Управлению Уязвимостями в Росатоме. Зарегистрировалось около ста человек. Раньше я этот материал читал только студентам-безопасникам. А тут мало того, что далеко не студенты, а взрослые опытные люди, так в основном ещё и из IT. Учитывая, что у меня значительная часть контента про то как мотивировать IT-шников наводить порядок в активах и как противостоять их попыткам саботажа VM-процесса ("как челобитную царю подаёшь" и "докажи-покажи") было волнительно как это зайдет на такую аудиторию. 🙂 Но прошло хорошо. Вопросы были конструктивные. VM-щики, конечно, тоже не всегда ангелы. 😈

Чтобы соответствовать названию "мастер-класс" уделил больше времени разбору примеров уязвимостей, способов их детекта и приоритизации (Vulners Linux Audit, Scanvus, OpenSCAP, ScanOVAL, Vulristics).

Большое спасибо отраслевой IT-школе Росатома за приглашение и Positive Education за организацию!

Запись буду использовать как основу для книги. 😉

@avleonovrus #greenatom #rosatom #Education #VMprocess #PositiveEducation

Закончил обучение на курсе "Управление Уязвимостями" от Inseca. В целом, ожидания оправдались. 🙂 Опишу то, что понравилось и то, что можно было бы улучшить.

1. Практические домашние работы. 👍 Их было 11 штук. С учётом того, что курс шёл 6 недель, получалось в среднем 2 работы в неделю. Они рассчитаны max на 1-2 часа, так что делать по вечерам было комфортно.

Большая часть домашних работ строилась вокруг 3 стендов в VirtualBox:

🔻 Виртуалка с Kali на которую нужно было поставить Nessus Essentials
🔻 Виртуалка с необновлённым Windows уязвимая к EternalBlue
🔻 Виртуалка с необновлённой Ubuntu и развёрнутым DWVA

Работы были такие:

🔹 Развернём сканер уязвимостей
🔹 Проэксплотируем EternalBlue с помощью Metasploit, забёрем хэши и побрутим их
🔹 Посканим виртуалки в режиме "чёрного ящика"
🔹 Настроем учётки на виртуалках и посканируем их с аутентификацией
🔹 Посканим DVWA Nessus-ом и Acunetix-ом и посмотрим разницу
🔹 Выгрузим уязвимости из Nessus через API, обогатим отчёты данными по эксплоитам и активной эксплуатации
🔹 Пофиксим уязвимости через обновление или отключение уязвимых сервисов, проверим, что они не детектируются или не эксплуатируются

Ещё 2 работы не были завязаны на стенды. В одной нужно было составить CVSS Base Vector-ы по описаниям уязвимостей. В другой нужно было по версии софта найти уязвимости (поиск по CPE), а затем выделить для них эксплуатабельные (эта задачка хорошо решалась с помощью Vulristics 😉).

➡️ Вопрос: можно ли проделать такие учебные активности самостоятельно? Конечно. Но это искать надо, а тут уже готовые стенды, подробно описанные методички (кроме подзадачек со звёздочкой), проверка преподавателем. Сервис. 🙂

Как видно из описания работ, упор на практическое детектирование, приоритизацию и исправление уязвимостей. Без привязки к решениям VM-вендоров.

2. Вебинары-семинары. 👍 Их было 5 штук. Проходили по субботам в 12:00. Длительность около 1,5 часов. Дмитрий Топорков рассказывал нам какую-то тему, касающуюся текущего модуля и в процессе можно было задавать вопросы, дискутировать, обмениваться опытом. Один вебинар был с Давидом Ордяном из Metascan, я о нём уже писал подробнее. Получалось лампово, посещал эти онлайн-созвоны с удовольствием.

3. Тьюторство. 👍 Каждую неделю в телегу скидывали табель с принятыми заданиями и посещёнными вебинарами. При открытии модуля скидывали оповещение с темой модуля и количеством домашек. За три дня до дедлайна оповещение, что надо домашку сдавать. Оповещения о вебинарах за день и за час. Вроде мелочи, а забота приятна. 😇 Ну и Дмитрий очень оперативно домашки проверял. 🔥

4. Контент. 👌 Большая часть контента - текст. Скринкасты в основном были доп. материалом для практических занятий. Я к текстовому контенту хорошо отношусь, т.к. его удобнее быстро просматривать. Тексты качественные. Не скажу, что по содержанию для меня были какие-то откровения, но лишний раз перечитать было прикольно. Тем, кто видит подобный контент в первый раз, должно быть интересно. Порог входа небольшой, всё разжёвывается подробно.

5. Что улучшить? 🤔 Исходя из концепции, что это базовый вендерно-нейтральный курс с фокусом на низкоуровневую работу с уязвимостями напрашивается следующее:

🔹 Добавить лабу для работу с опенсурсным решением, на котором можно построить процесс управления уязвимостями, например, Faraday Security или DefectDojo
🔹 Выделить больше времени на разбор веб-уязвимостей DVWA
🔹 Добавить про анализ безопасности конфигураций, например с помощью OpenSCAP

В целом, неплохо бы дать более цельное представление как строить VM-процесс в организации с использованием конкретных тулов. Но как курс для старта вполне норм. 👍

Спасибо коллегам из Inseca за предоставленный доступ к курсу!

PS: Также мне подарили термокружку Inseca. 😅 Я в одном из Прожекторов отмечал, что термокружки очень уж часто дарят. Но эта кружка прям норм. 🔥 Добротная, прорезиненная где надо, без каких-то ненужных наворотов. Вещь! Передаривать не буду, оставлю себе. За кружку тоже спасибо! 🙂

@avleonovrus #Inseca #Education #VMprocess #FaradaySec #DVWA #DefectDojo #Vulristics

Сделал трек для прошлогодней темы - концепту визуальной новеллы про Vulnerability Management. 🙂

"Свеженанятый VM-щик Олег Игнатов взялся за анализ безопасности сетевого периметра и зашёл проконсультироваться к Светлане Надеждиной, руководителю департамента IT.

На всякий случай Disclaimer. Все персонажи, события и конфигурации являются вымышленными, любые совпадения случайны. То, что говорит Светлана, это фантазия на тему типичного периметра типичной организации."

Светлана Надеждина:

С сетевым периметром всё как бы просто, но не совсем...
В основном хостим в нашем датацентре, но и в облаках есть часть систем.
С одних облаков мы съезжаем достаточно срочно.
Другие мы тестим, чтоб в них заехать. Почти выбрали, но это не точно.

Часть проектов поднимали когда-то подрядчики на разных хостингах VPS,
А мы к ним только вязали домены. Что там живо не знаю, там лютый замес.
Часть web-сайтов самописные, часть на CMS-ках делали,
Часть за Anti-DDoS-ом, часть за WAF-ом, часть просто так торчит - мы смелые.

То, что хостится у нас проходит через балансеров цепочку.
Куда в итоге запросы летят в конфигах читай - там свои заморочки.
Чаще в Docker-контейнеры в Kubernetes или на виртуалке,
Могут без контейнера на виртуалке развернуть - им хватит наглости и смекалки.

Корпоративные сервисы наружу торчат, без них никак:
VPN, мессенджер, файлопомойка, почтовый сервак.
Сетевые устройства всякие. Мы всё на wiki описываем, когда время есть.
Но там, конечно, не всё актуально - это нужно учесть.

А ещё у нас 5 филиалов и мелкие компании, купленные за кэш.
Вроде наши, а вроде автономны - наверняка там тоже тот ещё трэш.
А ещё сотрудники-удалёнщики со своих компов - таких где-то треть.
Это тоже сетевой периметр, или нет? Тут ведь как посмотреть.

Ну вот как-то так. Ты, Олег, главное не переживай.
Со временем разберёшься. А пока что, бывай!

@avleonovrus #fun #anime #game #education #VMprocess #EverlastingVM #perimeter #music #поёмCVE

Вчера на меня в VK старгетировалась видео-реклама обучающих курсов по профессии "Белый Хакер". Раньше не обращал внимание на то, как это сейчас подают. 🫣 Напомнило монолог из ДМБ:

"...Перед дембелем лежат все мечты! Потому что любят его очень — и здесь, и там. В пожарные берут, и в милицию. Там курорты от профсоюза, бесплатный проезд на автобусе." И барышни по нему плачут. 🙂

Т.е. в основном про то, что такие спецы деньги гребут, их везде с руками отрывают, а вкатиться может буквально каждый. Никакой начальной подготовки не требуется. Нужно только пройти годовые курсы за 4-5 млн. рублей. 😎

Честно говоря, отвратительно и на грани разводилова. Не сложно представить фрустрацию людей, которые это пройдут и окажется, что в оффенсиве совсем не так радужно, для востребованности требуется колоссальный уровень экспертизы, который нужно поддерживать.

Это не халява и точно не для всех!

Наверняка часть таких обученных по верхам попробует блечить и сядет. 🤷‍♂️🙁

@avleonovrus #education #offensive

И пожарные сдают OSCP (Offensive Security Certified Professional). В продолжение темы про курсы по оффенсиву. Мне в личку написали, что реклама вполне правдивая: в оффенсиве большой спрос, много денег и достаточно несложный вход.

Но вот вопрос: а для кого?

Для студента ИБшника или ITшника вход может быть и правда достаточно прост. Но меня вымораживает, когда организаторы курсов пишут, что специальных знаний не требуется. 😱 Можно ли рандомного слесаря за год довести до нанимаемого пентестера? Имхо, сомнительно.

А как быть с историями, когда повара и пожарные сдают сложные практические экзамены по ИБ? Нужно смотреть детали. Например, у пожарного на иллюстрации 7 лет технического образования, диплом "Electrics and softwares engineering" и вся лента в постах про задания Hack The Box. 😉 Не похож на рандомного товарища, прошедшего курсы в погоне за длинным рублём, правда?

Имхо, даже если сам курс неплох, обманывать людей в маркетинге это отвратительно и непрофессионально.

@avleonovrus #education #offensive

Чудесный пример рекламы IT-шных курсов из телеграм-канала женщины-астролога. 🔮 Странно, что так зазывают на курсы аналитика данных (без программирования, лол), а не на белого хакера. 😅 Но тут хотя бы намекают, что какая-то база всё-таки должна быть (экономическое образование, например), а не так что вообще все смогут гарантированно вкатиться.

Но так-то веселого мало. Ничего святого у продавцов IT-шных курсов не осталось. Готовы впаривать самым беззащитным. Вот до женщин в трудных жизненных ситуациях добрались. Дальше что? Пожилые? Стань аналитиком данных и получи гарантированную прибавку к пенсии? Жесть. 😔

@avleonovrus #education #fun

На Хабре вышла статья "Надзорщик за инфраструктурой: что делает VM-специалист и как им стать" по мотивам моих постов из Телеграм-канала.

Содержание статьи:

🔹 Кто такой VM-специалист?
🔹 Что делать VM-специалисту, чтобы быть эффективным?
🔹 Тяжело ли стать таким специалистом?
🔹 Почему VM-специалисты высоко востребованы на рынке?
🔹 Как становятся VM-специалистами?

В общем, 🎵 "В ИБшном департаменте есть специалист, чей рабочий путь опасен и тернист". 😉

🟥 По поводу вкатывания в VM. 8-го сентября стартует очередная (уже третья) волна курса "Управление уязвимостями: от теории к практике", в котором есть записанные мной видео-модули. Также планирую участвовать в онлайн "встречах с экспертами" в рамках курса. 😉

@avleonovrus #VMprocess #Education

Про Кибертех. Смотрю мероприятие в онлайне. 🍿

Трансляция доступна без регистрации на официальном сайте. На прошедшие сессии тоже можно перематывать. Правда видео только из залов Молекула, Архангельск и Физика. 🤷‍♂️ Программу сильно перекроили, не всё интересное попадает в трансляцию, но всё равно есть что посмотреть.

🟥 Positive Technologies презентует образовательные инициативы:

🔹 Открывают школу для преподавателей по ИБ. Я тоже буду записывать контент по VM для этой школы. 🙂 Трансляция из зала "Архангельск" начнётся с 13:50.
🔹 Подписывают соглашение о взаимодействии с научно-образовательным Кампусом "Неймарк" в Нижнем Новгороде
🔹 Создают центр компетенции на базе МЭИ

@avleonovrus #КИБЕРТЕХ #PositiveTechnologies #education

Записал сегодня темы по Управлению Уязвимостями для Школы преподавателей кибербезопасности (ШПК). Переработанная презентация на 149 слайдов. 3,5 часа съёмок, практически непрерывного говорения. 🫣 С непривычки было тяжеловато. Но очень рад, что вписался в эту историю.

В ШПК бесплатно обучаются преподаватели учебных заведений, аспиранты в области информационной безопасности, школьные учителя информатики. В прошлом году 900 человек приняли участие, в этом видимо будет ещё больше. А сколько учеников и студентов они в свою очередь обучат! Это ж какой мультипликативный эффект! 🤩 На это действительно стоит тратить время и силы. 👍

Программа в ШПК серьёзная, продолжительность 7 месяцев. С этого года в качестве дополнительного стимула участники получат удостоверения о повышении квалификации от МГТУ им. Н. Э. Баумана. То, что именно альма-матер в этом участвует тоже очень приятно. 😇

@avleonovrus #ШПК #PositiveTechnologies #Education #BMSTU