Выложил запись моего вчерашнего выступления на VK Security Сonfab Max 2024: Vulnerability Management, кризис NVD, трендовые уязвимости и БОСПУУ. Доступно на VK видео, Rutube и YouTube.

В 2024 году NIST NVD перестал справляться с ускоряющимися темпами прироста уязвимостей, а общее количество CVE-уязвимостей уже перевалило за 250 000. Какие из этих уязвимостей стали активно эксплуатироваться злоумышленниками в этом году и какие могут начать эксплуатироваться в ближайшем будущем? Как построить Vulnerability Management процесс в организации, чтобы снизить риски эксплуатации критичных уязвимостей?

00:00 Представляюсь
01:09 NVD в 2024 году: безудержный рост количества CVE и его причины (CNA организации), кризис обогащения данных
04:25 Как CNA вендор может творить дичь на примере Linux Kernel и Linux Patch Wednesday
06:29 Трендовые уязвимости и как мы их отбираем
08:12 Про проект "В тренде VM": ролики, дайджесты, хабропосты
08:50 Как я анализировал 70 трендовых уязвимостей с помощью Vulristics
11:21 Пример успешного предсказания трендовости
11:50 4 уязвимости 2023 года: почему они здесь?
12:13 Почему нет трендовых уязвимостей в отечественных продуктах?
13:20 32 уязвимости Microsoft
13:51 2 уязвимости Linux
14:34 Остальные группы уязвимостей: фишинг, сетевая безопасность, бэкапы и виртуалки, разработка ПО, совместная работа, CMS
17:01 ТОП-3
17:50 Не уязвимости, но важно (2 кейса)
19:49 Прогнозы на 2025 год
21:10 Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ)
28:36 Вопрос про Vulnerability Management без бюджета
31:18 Вопрос про то, как выделять трендовые уязвимости
33:47 Вопрос про то, как заставить IT оперативно устранять уязвимости
36:20 Вопрос про отчёты о сканировании MaxPatrol VM
37:02 Вопрос про причины лавинообразного увеличения количества CVE (упоминаю BDU:2024-08516 от СайберОК)
38:50 Вопрос про хороший продукт по проблематике 0day

🗒 Полный отчёт Vulristics для трендовых уязвимостей 2024

Понравился доклад? 🗳 Проголосуй за него! 😉

@avleonovrus #Event #TrendVulns #VKConfabMax #VK #NIST #NVD #CNA #втрендеVM #TrendVulns #PositiveTechnologies #Linux #LinuxKernel #LinuxPatchWednesday #Vulristics #Microsoft #phishing #firewall #backup #virtualization #dev #wiki #CMS #БОСПУУ #vmprocess #MaxPatrolVM #CyberOK #0day

Внезапно попал в одну папку с крупными каналами IT-юристов и специалистов по защите персданных. 😅 Вот станешь VM-щиком и везде будешь своим. И среди ресёрчеров, и среди корпоративных ИБшников, и вот даже среди юристов и мастеров бюрократической защиты информации. 😉

Если серьёзно, то я не уверен, что IT-юристам так уж важно знать про технические уязвимости. Но вот VM-щикам быть в курсе изменений законодательства и правоприменительной практики весьма полезно:

🔹 Дополнительная аргументация зачем IT и бизнесу нужно устранять уязвимости ("контора разорится на штрафах, а некоторые дофига хитрые товарищи может и присядут" 😏)

🔹 Пища для размышлений о том, как соотносится текущий VM-процесс в организации с требованиями регуляторов и законодательства (т.е. "как мне не оказаться крайним, если контору подломят через неисправленную уязвимость" 🤔)

➡️ Так что добавляем папочку, подбираем толковые каналы по законам и нормативке. Коллегам тоже скидываем. 😉

@avleonovrus #community #Telegram #folder #privacy #legal

Впечатления от VK Security Confab Max 2024 самые приятные. Как по мне, такая конфа давно напрашивалась и будет здорово, если она станет ежегодной. 🙂🔥

Основные преимущества:

🔹 Конфа бесплатна для докладчиков, нет странных ограничений на указание работодателя
🔹 Таймслоты на выбор (от 10 до 45 минут)
🔹 CFP закрывается не за месяцы до начала мероприятия, а за неделю
🔹 Адекватный программный комитет не пропускает маркетинговый трешак
🔹 Проведение в декабре - удобно подводить итоги года
🔹 Конфа бесплатна для зрителей и есть трансляция на сайте (без регистрации)
🔹 На видео нормально видны слайды, запись сразу доступна
🔹 Ведущие в теме и задают адекватные вопросы
🔹 До офиса VK удобно добираться и он комфортный
🔹 Если кейтеринга мало, есть доступ в приличную столовую от cafetera 🍛😉

Что можно улучшать:

🔸 Качество съёмки: было как-то зернисто и зеленовато 🤷‍♂️
🔸 Название конфы лучше бы покороче

А так всё супер! 🙂👍
Большое спасибо организаторам!

@avleonovrus #Event #VKConfabMax #VKSecurityConfabMax #VK

По поводу блокировки Viber-а. В первый раз вижу в основном положительные реакции в Телеграм-каналах на блокировку. 😅

Действительно, Viber морально устарел и пользоваться им можно было исключительно вынужденно (из-за важных чатиков). Но ведь пользовались! 26% россиян, 14% ежедневно. Третий по популярности мессенджер в РФ.

С другой стороны, с формулировкой "за нарушение требований российского законодательства к организаторам распространения информации" можно заблокировать вообще любой западный мессенджер. 😉

В январе 22-го Viber открыли представительство в РФ, завели кабинет на сайте РКН, сделали электронную форму для обращения российских пользователей. Но штрафы за неудаление запрещёнки не выплачивали. 🤷‍♂️

Вот и Телеграм тоже регулярно за это штрафуют, последний раз 3 декабря. 😏

По телеге прогноз не меняю: поблочат, пора съезжать. Но при многообразии отечественных мессенджеров, какой-то вменяемой альтернативы общим чатам и каналам Телеграма не просматривается. 🤷‍♂️

@avleonovrus #Viber #Telegram #Block

Ходили сегодня на Новогоднюю Ёлку в Кибердом (КиберЁлку). По сюжету мероприятия Дед Мороз был похищен злыми хакерами. Чтобы его спасти, нужно было в составе сборных команд из детей и их родителей перемещаться между локациями Кибердома и выполнять различные около-ИБшные задания: решать ребусы, искать подсказки для подбора пароля, отвечать на вопросы по фишингу/утечкам и т.п. За успешно пройденную локацию выдавали слово. В конце из полученных слов нужно было составить предложение и тем самым победить злых хакеров и освободить Деда Мороза. 🎅

Поначалу родители не особо участвовали ("пусть детишки сами поотгадывают"), но потом включились в процесс всерьёз. Иначе бы не справились, местами было весьма нетривиально. 😅 После успешного спасения Деда Мороза водили общий хоровод, и дети читали стихи. 🙂

В общем, милое и увлекательное мероприятие получилось, нам понравилось. 👍 Плюс это был хороший повод показать дочке и жёнушке Кибердом. 😉

@avleonovrus #Кибердом #КиберЁлка #NY #дыбр #Event

Про Tenable Patch Management. Это новое решение, анонсированное 4 декабря, результат стратегического партнёрства Tenable с endpoint management вендором Adaptiva.

Решение доступно как аддон для Tenable One, Tenable Vulnerability Management, Tenable Security Center и Tenable Enclave Security. Лицензируется по активам.

Умеют:

🔹 Автоматическую корреляцию между уязвимостями и патчами

🔹 Автоматический патчинг с настройкой стратегий обновления и процесса апрува; есть возможность управлять обновлениями в реальном времения, включая глобальную приостановку, отмену и откат патчей

🔹 Автоматическую валидацию патчинга

Сейчас Tenable PM поддерживает Windows, более 1700 сторонних приложений, драйвера и BIOS. Поддержку Mac и Linux обещают в Q1 2025 года. Тестированием и упаковкой патчей занимается Adaptiva.

Похоже, что хоть и неспешно, и очень разными путями, но VM-вендоры всерьёз идут к автоматизации непосредственного устранения уязвимостей. Сначала Qualys, теперь Tenable.

@avleonovrus #Tenable #TenablePM

Индонезия занимает 3 место в рейтинге зарубежных рынков для опытных экспортеров российских решений по кибербезопасности и 4 место в рейтинге для экспортеров-новичков. По данным исследования компании Piccard. Эти рейтинги отражают объём продаж российских вендоров по странам в 2024 году с учётом Kaspersky и без учёта. Kaspersky вендор настолько крупный и специфичный, что своей долей меняет статистику. 😉🤷‍♂️ В Индонезии Kaspersky входит в ТОП-7 популярных брендов, доступен у 29% партнёров.

Также в Индонезии представлены:

🔹 Axidian (ранее Indeed ID)
🔹 Dr.Web
🔹 Group-IB (ну, я бы их к российским уже не относил 🤷‍♂️)
🔹 Positive Technologies
🔹 SearchInform
🔹 StaffCop
🔹 Zecurion
🔹 Ideco
🔹 UDV Group

В первую очередь индонезийский рынок будет интересен вендорам, которые поставляют продукты и услуги для госучреждений, клиентов в сфере логистики, промышленности, предприятий малого бизнеса. Также вендорам, имеющим продукты для онлайн-продаж.

Piccard упоминают кейс успешного сотрудничества Tri Kreasi Mandiri Teknologi (TKMT) с SearchInform по выводу на индонезийский рынок продукта TKMT Risk Management. Эта же компания внедряла и UDV SIEM.

Компании-партнеры, которые продают продукты российских вендоров:

🔸 Informatika Perkasa
🔸 Abadi
🔸 Kreasi Utama Mandiri
🔸 Pacific Tech
🔸 Svarnatech
🔸 Tech Titan
🔸 Trisendo

Крупнейшие онлайн-площадки для продажи решений в сфере кибербезопасности:

🔻 Tokopedia
🔻 Bukalapak
🔻 iPrice
🔻 Bhinneka

➡️ Полное исследование компании Piccard, там ещё есть информация по Беларуси, Казахстану, Узбекистану и ОАЭ. Также напоминаю про наше уютное закрытое сообщество, в котором мы обсуждаем активности отечественных ИБ-компаний в Индонезии Нусантара Кибербез. 🇮🇩😉

@avleonovrus #Indonesia #NKB

Решил завести ещё один Телеграм-канал @avleonovlive "Заметки VMщика". Когда я отсматриваю новости, связанные с Управлением Уязвимостями, то я обычно кидаю их в Saved Messages. А потом (возможно 🙂) возвращаюсь к ним, разбираю подробно, рефлексирую и пишу посты в канал. Так как это требует определенного времени и сил, то до некоторых важных тем очередь у меня не доходит никогда и они остаются навечно погребёнными в Saved Messages. 🤷‍♂️ 🙄

Подумалось, что было бы неплохо иметь публично доступное место, куда можно просто кинуть ссылку (фотку, скриншот, репост) с коротким комментарием или поделиться текущими мыслями, не утруждаясь приведением их в какую-то законченную форму. Микроблог в общем. 🙂 И при этом не захламлять основной канал @avleonovrus.

➡️ Так что если вам такое интересно - подписывайтесь на @avleonovlive "Заметки VMщика".

@avleonovrus #Telegram #microblog

Вчера выступал на итоговой пресс-конференции Positive Technologies за 2024 год. В зале боксёрского клуба The Corner собралось 40 журналистов. Кроме того, была трансляция для журналистов из регионов. С короткими докладами выступали 20 спикеров от Positive Technologies: директора и руководители направлений. Кажется среди всех рядовым экспертом был только я один. 😅 Благодарен коллегам за оказанное доверие! Уровень ощутил! 👍

Я рассказывал про трендовые уязвимости года. Примерно как на конфе VK, только очень сжато, буквально за 5 минут. Всё прошло вполне успешно. 🙂

На этом публичные выступления в этом году завершаю. 🎉😌

@avleonovrus #PositiveTechnologies #PTPressConf2024

Декабрьский Linux Patch Wednesday. Всего 316 уязвимостей. По сравнению с ноябрьским - по-божески. 🙂 Из них 119 в Linux Kernel.

Две уязвимости с признаками эксплуатации вживую. Обе в Safari:

🔻 RCE - Safari (CVE-2024-44308)
🔻 XSS - Safari (CVE-2024-44309)

В Linux дистрибутивах эти уязвимости исправляют не в Safari, а в пакетах опенсурсного браузерного движка WebKit.

Для 19 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Можно выделить следующие:

🔸 RCE - Moodle (CVE-2024-43425). Исправлена в августе, но первый фикс в репозитории Linux-вендора появился 2024-11-21 (RedOS)
🔸 Command Injection - Grafana (CVE-2024-9264)
🔸 Command Injection - virtualenv (CVE-2024-53899)
🔸 SQLi - Zabbix (CVE-2024-42327)
🔸 Data Leakage - Apache Tomcat (CVE-2024-52317)

🗒 Отчёт Vulristics по декабрьскому Linux Patch Wednesday

🎉🆕 Зарелизил Vulristics 1.0.9 с улучшенным детектированием уязвимого софта по описанию CVE.

@avleonovrus #LinuxPatchWednesday #Vulristics #Linux

Новый выпуск "В тренде VM": горячие уязвимости ноября, управление уязвимостями без бюджета и кто должен искать патчи. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:33 Уязвимость раскрытия хеша NTLMv2 в Windows (CVE-2024-43451)
🔻 01:20 Уязвимость повышения привилегий в Windows Task Scheduler (CVE-2024-49039)
🔻 02:20 Уязвимость подмены отправителя в Microsoft Exchange (CVE-2024-49040)
🔻 03:07 Уязвимости повышения привилегий в утилите needrestart (CVE-2024-48990)
🔻 04:15 Уязвимость удаленного выполнения кода в FortiManager (CVE-2024-47575)
🔻 05:23 Уязвимость обхода аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012)
🔻 06:36 Уязвимость повышения привилегий в PAN-OS (CVE-2024-9474)
🔻 07:46 Уязвимость обхода каталога в межсетевых экранах Zyxel (CVE-2024-11667)
🔻 08:41 Можно ли заниматься Управлением Уязвимостями без бюджета?
🔻 09:57 Кто должен искать патчи для устранения уязвимостей?
🔻 10:55 Полный дайджест с трендовыми уязвимостями
🔻 11:22 Бэкстейдж

@avleonovrus #втрендеVM #TrendVulns #PositiveTechnologies #SecLab #Microsoft #NTLM #MSHTML #ClearSky #SparkRAT #Windows #AppContainer #TaskScheduler #RomCom #Firefox #Exchange #Kaspersky #needrestart #Ubuntu #Qualys #Fortinet #FortiManager #FortiJump #watchTowrLabs #PANOS #PaloAlto #CISAKEV #Shadowserver #Zyxel #Sekoia #Helldown #VMprocess #Detection #Remediation #VMprocess