Завершаю серию постов про свой мини-ресерч уязвимостей БДУ без ссылок на CVE следующими выводами.

🔹 Vulristics теперь умеет работать с БДУ, его можно использовать для приоритизации продетектированных уязвимостей и поиска аномалий в базе БДУ.
🔹 Уязвимостей в БДУ без ссылок на CVE около 2.4% от общего количества, но они представляют большой интерес, т.к. они в других базах уязвимостей не описаны. Особенно интересны уязвимости в отечественных продуктах и те, что с эксплоитами и эксплуатацией вживую.
🔹 Уязвимости в БДУ без CVE это не только уязвимости в отечественных продуктах, но и в Open Source, и в западных проприетарных продуктах.
🔹 Иногда для «уязвимости без CVE» на самом деле есть CVE. 🤷‍♂️ Нужно выявлять такое и репортить.

Для дальнейшего анализа было бы интересно собрать детальную статистику по уязвимым продуктам (тип, назначение, лицензия и т.д), но это осложняется отсутствием формализованных источников данных с описанием продуктов. 🤔

@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event

Важное уточнение по поводу БДУ уязвимостей Astra Linux без CVE идентификаторов. Я пообщался в личке с руководителем анализа защищённости ОС Astra Linux Олегом Кочетовым по поводу кейса из вчерашнего поста.

🔹 Это может выглядеть как уязвимость, исправление которой пришло из апстрима Bash, которую зачем-то завели в БДУ по бюллетеню Астры, потеряв по дороге CVE. Но ситуация там совсем другая! Эту уязвимость обнаружили специалисты Астры, но так как она аффектила только Astra Linux, то в апстрим её не репортили (и не получали CVE), а зарепортили только в БДУ. Такие уязвимости можно отличать по идентификаторам "ASE" (ранее "ALV").

🔹 В бюллетенях, исправляющих CVE-шные уязвимости, ссылки на CVE проставляются, но могут быть накладки, когда одну и ту же уязвимость репортят разные вендоры.

Подробнее Олег расскажет 12 апреля на CISO Forum в докладе "Как не утонуть в море уязвимостей или как мы управляем кораблем «ОС Astra Linux»"

@avleonovrus #Vulristics #БДУ #ФСТЭК #FSTEC #BDU #tb2024 #event #Astra

Выступление и дискуссия на PHDays 2024. В этом году я заявил на CFP рассказ про кризис в NVD (честно говоря, я предполагал, что к маю он закончится, но куда там 🌝) и развитие ресёрча уникальных уязвимостей БДУ. 👨‍💻

Но тема получила развитие и помимо доклада будет ещё и дискуссия по поводу национальных баз уязвимостей, которую сегодня упомянул у себя Алексей Лукацкий. 🎤

Планируем собрать представителей от БДУ, VM-вендоров, IT-вендоров, клиентов и обсудить:

🔹 Как нам жить в дивном мире, где американцы сначала политизировали ведение главной мировой базы уязвимостей, а теперь, как оказалось, вообще это не тянут? 🤷‍♂️

🔹 Чего нам не хватает в нашей российской базе БДУ? Как сделать её ещё полнее, а работу с ней ещё эффективнее? Как мы (каждый со своей стороны) можем этому способствовать?

🔹 Качество детектирования известных уязвимостей VM-продуктами. Удовлетворительно ли оно сейчас и как можно его улучшить?

В общем, приходите, должно получиться интересно. 🙂

@avleonovrus #phd2024 #phd2 #БДУ #ФСТЭК #NVD #event

Мой доклад на PHDays "Кризис NVD и светлое БуДУщее" пройдёт 24 мая (Пятница) в 16:25–17:10 в локации Галактика. На сайте PHDays уже доступно расписание.

В рамках доклада рассмотрим:

🔹 Как ретроспективно развивался кризис NVD, реакцию на него со стороны сообщества безопасников и текущее состояние.
🔹 Какие меры предлагались сообществом для уменьшения зависимости от NVD, чтобы такая ситуация в будущем не могла повториться.
🔹 Оценку текущего состояния NVD и БДУ ФСТЭК: возможно ли для российских организаций использовать только БДУ?
🔹 Уязвимости, которые присутствуют только в БДУ ФСТЭК: общее количество, распределение по годам, типы уязвимостей, уязвимые продукты.

Сразу после доклада в 17:20–18:20 в той же локации будет дискуссия "Источники данных об уязвимости в современных реалиях" с моим участием (и модерированием).

upd. 22.05 Обновил время начала

@avleonovrus #phd2024 #phd2 #phdays #БДУ #ФСТЭК #NVD #event

30 мая в Москве пройдёт конференция СФЕРА Cybersecurity. Организатор СберКорус - дочка Сбера, оператор электронного документооборота.

Тематика: "защита информации, безопасная разработка и противостояние киберугрозам в ИТ, ритейле и логистике".

Участие в конфе бесплатное, будет онлайн-трансляция.

Выступят эксперты из Касперского, Positive Technologies, BIZONE, SearchInform, Астры, SamokatTech, SECURITM, Swordfish и других компаний. Программа пока без подробностей, обещают на днях выложить в полном виде.

⚠️ Пока больше всего заинтересовал доклад "Как внедрить инструмент выявления уязвимостей и собрать из Жигули Мерседес". Доклад от Романа Журавлева из TS Solution и Никиты Аристова из СберКорус. Будут рассказывать про выстраивание Vulnerability Management процесса. По слухам строили на базе MaxPatrol VM и там будет интересный фидбек. 🙂

Мероприятие пройдёт в Старт Хабе на Красном Октябре.

➡️ Подробности и регистрация

@avleonovrus #event #СФЕРАCybersecurity #СберКорус

Бейдж на Positive Hack Days можно получить заранее и не стоять в очереди на регистрацию. В офисе Positive Technologies и кассе Лужников.

@avleonovrus #phd #phd2024 #phd2 #phdays #event #lifehack

Время начала моего выступления и дискуссии по базам уязвимостей на PHDays сместилось на 35 минут: теперь стартуем 24 мая (пятница) в 16:25 в локации Галактика. Надеюсь, что больше изменений не будет, но если что, отпишу в канал. 🙂 Также можете уточнять в интерактивной программе мероприятия (выделил фильтрами день и трек "Государство").

@avleonovrus #phd2024 #phd2 #phdays #БДУ #ФСТЭК #NVD #event

Выступать будем здесь. Можно будет с чистой совестью говорить, что "выступал в Лужниках" (непосредственно). А с учётом того, что сцена частично на игровом поле, то получается "выступал на поле Лужников". 😅⚽

@avleonovrus #phd2024 #phd2 #phdays #NVD #event #Лужники #fun

Сгенерил в Suno трек про PHDays 2 - Позитивные Дни. 🙂 Футажи взял из трансляций и выложенных роликов в youtube-канале Positive Events.

Никогда не думал, что буду готов
Выступать перед зрителями на арене Лужников.
И я не про спорт или музыку, вовсе нет:
Мы вещаем со сцены ИБэшный контент.

Второй кибер-фестиваль зажигает огни...
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!
То самое место, где мы не одни.
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!

Мы снова здесь все вместе без деления на нации
Излучаем в пространство позитивные вибрации.
Мы здесь всем миром развиваем ИБ культуру,
Чтоб не было жестоко к нам Mirabile Futurum

Второй кибер-фестиваль зажигает огни...
Это PHDays 2, позитивные дни!
Позитивные дни! Позитивные дни!
То самое место, где мы не одни.
Конец мая, Москва, позитивные дни!
Позитивные дни! Позитивные дни!

🔹 Позитивные вибрации - отсылка к "Positive Vibration" Боб Мали и The Wailers, которая когда-то давно была практически неофициальным гимном PT. 😅
🔹 Mirabile Futurum - отсылка к каверу "Прекрасное далёко" на латыни.

@avleonovrus #phd2024 #phd2 #phdays #event #fun #music #поёмCVE

Идёт онлайн-трансляция конференции СФЕРА Cybersecurity.

Наметил для себя окло-VM-ные доклады:

🔹 11:40 - 12:10 Как внедрить инструмент выявления уязвимостей и собрать из Жигули Мерседес.
🔹 13:00 - 13:30 Можно ли доверять недоверенному устройству?
🔹 16:00 - 16:30 Управление метриками ИБ. «Понты» или ежедневный инструмент?

@avleonovrus #event #СФЕРАCybersecurity #СберКорус

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 1). Сделал небольшой конспект части доклада со СФЕРА Cybersecurity.

🔹 Цель была для начала хотя бы понять какие есть активы.
🔹 Они пилотировали MaxPatrol VM сразу в прод. Пилот затянулся на полгода.

С какими проблемами столкнулись и как их порешали:

🔻 Пересечение сетей Docker. Это не настраивалось в MaxPatrol VM, привело к потере доступа в пятницу вечером, помогло комьюнити.
🔻 Проблемы при установке ролей. Иногда приходилось ставить роль заново.
🔻 Добавление активов из ARP-таблиц. Нерелевантные таблицы могут забивать лицензию VM-а. Например, для удалёнщиков по результатам сканирования видели домашние роутеры, телефоны, ноутбуки жены и т.д. Убрали сбор таблиц для АРМ-ов сотрудников.
🔻 Не укладывались в сканирование за неделю. Увеличили поточность сканирования на сканирующих нодах, чтобы укладываться (выставили capacity 10).
🔻 Завершение задачи по отключению узла в момент сканирования. VM сначала пингует хосты, ставит живой хост в очередь сканирования, пока дойдёт до хоста, он может быть уже выключен. В этом случае задача вообще не завершается. Задача подвисала дня на 2. Починили отключив пропинговку. Просто очередь узлов стала больше.

Реализация задач:

🔸 Группировка активов. Дали доступ в сканер коллегам из IT. Группировали активы по зонам ответственности отделов. 264 динамические группы.
🔸 Ролевая модель. Дали доступ администраторам к группам своих активов - 8 отделов. Доступ на запись паролей от сканирующих учёток предоставили админам домена - ИБ не всесильно (что важно и хорошо). 38 продуктовых команд имеют доступ к уязвимостям в своих продуктах с автоматической отправкой отчётов.

🪧 Приложена схема процесса, позволяющая быстро находить новые активы, которые появляются в сети, быстро натравливать на них все варианты сканирования с нужными профилями и учётками, позволяет синхронизироваться с доменом и помогает IT-шникам обнаруживать shadow IT.

📊 Было разработано 50 кастомных виджетов.

К сожалению, я дальше отвлекся и кэш трансляции с этим выступлением просрочился. 🤷‍♂️ Что было дальше посмотрю, когда будет видео, и распишу во второй части.

Upd. Выложил вторую часть

@avleonovrus #event #СФЕРАCybersecurity #СберКорус #TSSolution #PositiveTechnologies #MaxPatrolVM

Периодически ко мне в личку приходят с просьбой порекламить в канале ИБ-шные оффлайн-мероприятия "от community для community" и я им обычно отказываю. И советую проводить подобные мероприятия исключительно официально от какой-то компании/организации с репутацией или хотя бы от известного лица.

Если конкретного организатора нет или это ноунейм (обычно симпатичная девушка 👩‍🦱), а вся коммуникация происходит в телеграм-чатах/ботах, то велики риски, что всё это некоторая зловредная активность третьей стороны. В лучшем случае просто соберут участников мероприятия для дальнейшей разработки или попробуют подсунуть зловред под видом программы мероприятия/схемы проезда. А хуже и в оффлайне может быть до бесконечности, времена сейчас неспокойные, трагичные кейсы сами вспомните.

ИБ-шник, бди! Не забывай, что конкретно ты одна из самых лакомых целей злоумышленников, целящих в твоего работодателя. Не ходи на мутные сходочки и не рекламируй их (не подставляй аудиторию)!

@avleonovrus #event #meetup #community #paranoia

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 2). Продолжаю отсматривать выступление Романа Журавлева из TS Solution и Никиты Аристова из СберКоруса на конференции СФЕРА Cybersecurity. В прошлый раз остановились на кастомных виджетах.

📊 Кастомные виджеты. Разработали около 50 кастомных виджетов, которые позволяют отслеживать процессы, и чуть больше 100 PDQL-запросов.

🔹 На скриншоте видны однотипные виджеты "Статистика по аудиту" для разных групп активов (ARM онлайн за 7 дней, ARM, VDI, Windows Серверы, Сетевое оборудование, 2 замазанные группы по принадлежности к системам). Возможные значения: "Аудит не проводился", "Аудит в течение 7 дней", "Аудит старше 7 дней".
🔹 Также виден виджет "Доля активов с неустраняемой уязвимостью" со значениями "Активы с устраняемыми уязвимостями" и "Активы с неустраняемыми уязвимостями".

🥄 Ложка дёгтя - непобеждённая проблема. При серьёзной нагрузке выяснилось, что не справляется база данных PostgreSQL. Полной победы за год не достигли, как временное решение в 4 раза увеличили ресурсы. 🤷‍♂️

🚙 Прокачка MaxPatrol VM

"MaxPatrol VM как метафорические Жигули. Свою базовую функцию он выполняет: активы ищет, уязвимости рассчитывает. Но дальнейший процесс [тюнинга] никогда не закончится. Его абсолютно точно есть куда развивать, у него много возможностей. Дальше будет как превратить Жигули в Мерседес, при том что Мерседес для каждой компании будет свой".

[ От себя скажу: полностью согласен. Vulnerability Management - это прежде всего процесс выстроенный с использованием какого-либо продукта. Считать, что купил продукт и всё само заведётся, а в компании сам собой появится рабочий процесс довольно наивно. Нужно работать, затачивать его под себя. С другой стороны, базовую функциональность по работе с активами, уязвимостями, аналитике тоже недооценивать не следует. Если она в продукте так себе, то будет классическое "мусор на входе - мусор на выходе". ]

🔻 Показали схему Security Gate по выводу продуктов на периметр, включающий проверки AppSec (проверка кода) и инфраструктурного VM-а. Про то, что эти 2 направления имеют пересекающиеся функции в рамках, например, DAST сканирования, я писал ранее.
🔻 "В MaxPatrol VM неплохой модуль BI (Business intelligence)". Считают покрытие сканированиями, покрытие СЗИ (антивирусы и EDR для Linux и Windows), динамику уязвимостей за неделю.
🔻 Контроль активов: контроль работы служб СЗИ (запущена и добавлена в автозапуск), контроль состава установленного ПО (нелегитимное, нежелательное), дубликаты активов, переустановки ОС, SSH (контроль перевода на аутентификацию по ключам), свободное место на жёстких дисках (выгружают за 5 минут).
🔻 Контроль пользователей: привязка администраторской УЗ к АРМy, контроль сеансовой работы под УЗ с правами администратора (контроль активных пользователей; админская учётка должна использоваться только для повышения привилегий, а не для постоянной работы), контроль нелегитимных прав локального администратора (завели резервную учётку или временная учётка стала постоянной), смена пароля после киберучений (для попавшихся на учебные фишинговые рассылки).
🔻 Инциденты ИБ ("MaxPatrol VM - это осколок от MaxPatrol SIEM, какие-то инциденты можно смотреть в VM-е"): сотрудник снял образ своего АРМ-а и развернул виртуальный АРМ из образа на своём личном ноутбуке и с него работал (проверка по ID установки и является ли хост виртуалкой), подключение по RDP в обход PAM (контроль коммерческого SOC).

Заключительная третья часть будет про планы по развитию VM-процесса в СберКорусе.

upd. Третья заключительная часть

@avleonovrus #event #СФЕРАCybersecurity #СберКорус #TSSolution #PositiveTechnologies #MaxPatrolVM #BI #EDR #SIEM #AppSec #PAM #SOC

Как СберКорус с помощью TS Solution с нуля выстраивали у себя VM-процесс на MaxPatrol VM (часть 3). Завершаю серию постов про выступление Романа Журавлева из TS Solution и Никиты Аристова из СберКоруса на конференции СФЕРА Cybersecurity. В прошлый раз было про кастомные виджеты и прокачку MaxPatrol VM, а сейчас будет про планы СберКоруса на будущее.

Технические планы

🔸 В идеальной картине мира хотят получать в VM уязвимости из контейнеров. Тестируют PT Container Security.
🔸 Уязвимости из VM планируют передавать в Threat Intelligence. Там создастся репутационный список индикаторов компрометации, связанных с эксплуатацией уязвимостей. Этот список будет блокироваться на межсетевых экранах. Этот же список уйдёт в SOC для упрощения расследований. Уязвимости также планируют передавать в SOC (наличие некоторых уязвимостей это инцидент сам по себе и они должны мониториться 24/7 и оперативно исправляться).
🔸 Автоматизировать создание задач на ответственных в ITSM системах Jira и Naumen.
🔸 В SGRC передавать список активов и список уязвимостей на этих активах. В процессе пилотирования. Сейчас в MPVM нет функциональности по постановке задач, поэтому нужно решать это интеграциями.
🔸Хотят получать список активов из CMDB. Если актив есть в CMDB, помечаем в VM-е как легитимный. Если нет - разбираемся с Shadow IT. Также хотят обогащать активы CMDB техническими данными из VM-а.

После прикручивания интеграций к MaxPatrol VM в СберКорус могут смело сказать, что "Инвестиция нашего руководства в безопасность окупается. Продукт реально работает, на него завязано много процессов, которые делают много полезного и все счастливы, все улыбаются, даже наш коммерческий директор". 🙂

Q/A: Можно ли контролировать виртуализацию облачного провайдера (компания спрашивающего пострадала от эксплуатации такой уязвимости)? Конечно нет. По договору никто туда не пустит. [ На эту тему в КиберДуршлаге с Алексеем Лукацким было хорошо ].

Очень классное выступление, побольше бы таких! 👍 🙂

@avleonovrus #event #СФЕРАCybersecurity #СберКорус #TSSolution #PositiveTechnologies #MaxPatrolVM #PTContainerSecurity #ThreatIntelligence #SOC #ITSM #Jira #Naumen #SGRC #CMDB