Ровно 84 года назад началась самая страшная война в отечественной истории. Оценки первого года этой войны практически единогласные: "трагедия 1941 года", "катастрофа 1941 года". О причинах исследователи спорят до сих пор. Но то, что страна оказалась не готова к войне с нацистской Европой - факт.
А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:
"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".
Если так, то КИИ нам на определённом этапе отключат. 🤷♂️ Возможно, в ходе операции под чужим флагом.
"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.
@avleonovrus #НДВ #june22 #nukes
А готова ли она сейчас? В части защиты КИИ, похоже, что нет. Во всяком случае, если верить тому, что написал Владимир Иванов (CEO ScanFactory) в комментарии на мой предыдущий пост:
"Когда российское ИТ полностью откажется от использования зарубежного софта, тогда и российское ИБ может отказываться от зарубежных решений. Переводя с политического на русский — никогда".
Если так, то КИИ нам на определённом этапе отключат. 🤷♂️ Возможно, в ходе операции под чужим флагом.
"Статус ядерной державы" этому не помешает. Как не мешает он объединённому Западу уже третий год участвовать в полномасштабном прокси-конфликте с Россией. И даже наносить удары по компонентам ядерной триады.
@avleonovrus #НДВ #june22 #nukes
Публичная база уязвимостей Эшелон Сканер-ВС. На днях коллеги из Эшелон запустили портал, отображающий уязвимости из базы знаний Сканер-ВС 7. 🔥
На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.
Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.
Также есть ссылки на эксплоиты (не из NVD!) 🔥
В общем, круто получилось! Молодцы, Эшелон! 👍
@avleonovrus #Echelon #ScanerVS #detection #description
На данный момент в базе 427498 уязвимостей. Многовато, учитывая, что в NVD сейчас 283593, да? 😏 На самом деле там не только CVE идентификаторы, но и идентификаторы бюллетеней безопасности, такие как ROS-20240731-03 или oval:redos:def:6132. Причём это только для RedOS так, уязвимости других дистрибов группируются на страницы CVE-шек. 🤷♂️ Отдельно вынесены и уязвимости БДУ (даже при наличии ссылки на СVE), например BDU:2022-06708.
Доступны правила детектирования! Например, для CVE-2021-40438 в Apache HTTP Server видим детекты по версиям пакетов из бюллетеней безопасности (включая признаки "unfixed" и "unaffected" для версий дистрибов), и NVD CPE Configurations для баннерных детектов без аутентификации.
Также есть ссылки на эксплоиты (не из NVD!) 🔥
В общем, круто получилось! Молодцы, Эшелон! 👍
@avleonovrus #Echelon #ScanerVS #detection #description
Сканер уязвимостей с "поиском по версиям в базе" может найти все уязвимости из этой базы? То, что для качественного детектирования нужен "не совсем поиск и не совсем по версиям", я уже расписал ранее. Теперь посмотрим по контенту.
Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂
🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.
🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии <= 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉
Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".
@avleonovrus #VMprocess #detection #Echelon
Если в базе сканера 427498 уязвимостей, значит ли это, что сканер может находить их все? Не совсем. 🙂
🔷 Для уязвимости должны быть правила детектирования. Если правила детектирования строятся на основе NVD CPE Configurations, а для какой-то уязвимости в NVD их нет, значит и в сканере их не будет, и сканер уязвимость не обнаружит.
🔷 Должна быть логика определения продукта и его версии. Вот уязвимость CVE-2023-32311 в некотором китайском проекте CloudExplorer Lite, для неё есть логика детектирования: версии <= 1.1.0 уязвимы. Но сможет ли сканер узнать инсталляцию с этим CloudExplorer Lite и определить его версию? Не факт. 😉
Поэтому для таких сканеров "наличие уязвимости в базе" != "возможность продетектировать её в инфраструктуре".
@avleonovrus #VMprocess #detection #Echelon
Главные преимущества MaxPatrol VM на российском рынке. Меня попросили накидать пункты для внутреннего использования, но пусть в паблике тоже будет. 🙂
🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.
🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.
🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.
@avleonovrus #PositiveTechnologies #MaxPatrolVM
🔹 Качество детектирования. Если считать с первого XSpider, команда PT уже 27 лет занимается детектированием уязвимостей. Здесь своя школа подготовки именно экспертов-сканеристов. Когда в одном вендоре десятки человек на full-time занимаются улучшением методов детектирования, а в другом "полтора землекопа" пилят исключительно CPE-детекты, разница в качестве детектирования будет очевидна при сколько-нибудь внимательном рассмотрении.
🔹 Настоящие трендовые уязвимости. Это не просто зеркало CISA KEV. За этим стоит процесс непрерывного отслеживания состояния огромного количества уязвимостей. Плюс экспертиза лучшей на рынке пентестерской команды.
🔹 PDQL. Собственный язык запросов позволяет работать с уязвимостями и активами максимально гибко. На мировом рынке похожее есть у Qualys, на отечественном только у PT.
@avleonovrus #PositiveTechnologies #MaxPatrolVM
Добавил поддержку OVAL-контента для ALT Linux в Linux Patch Wednesday. Теперь я отслеживаю когда были исправлены те или иные CVE-шки в пакетах ALT Linux и учитываю это при формировании ежемесячных бюллетеней. Чем больше источников данных по исправляемым уязвимостям в Linux дистрибутивах, тем адекватнее становятся бюллетени. 👍 Особенно если эти Linux дистрибутивы независимые, а не деривативы. 😇
Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:
🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux
И ещё один источник в формате листов рассылки Debian.
С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить. Тем более что уязвимостей там не так уж много - 598. 🙂
@avleonovrus #ALTLinux #LinuxPatchWednesday #OVAL
Итого, сейчас в генераторе LPW используется 7 источников в формате OVAL:
🔹 Debian
🔹 Ubuntu
🔹 Oracle Linux
🔹 RedOS
🔹 AlmaLinux
🔹 Red Hat
🔹 ALT Linux
И ещё один источник в формате листов рассылки Debian.
С обзором июньского Linux Patch Wednesday я припозднился (в связи с этими доработками и отпуском), но планирую в скором времени его выпустить. Тем более что уязвимостей там не так уж много - 598. 🙂
@avleonovrus #ALTLinux #LinuxPatchWednesday #OVAL
Кибердом запустил метавселенную. Виртуальное пространство повторяет интерьеры реального московского Кибердома. Эту площадку собираются использовать для проведения гибридных мероприятий: одновременно и офлайновых, и виртуальных. 🙂 Но уже сейчас можно побродить, пообщаться голосом, пройти квест, поиграться с редактором аватаров. 🥸 Доступ свободный. Работает всё из браузера.
В общем, довольно потешная штука. Возможно, и для чего-нибудь полезного можно будет приспособить. 😉
@avleonovrus #Кибердом #Voltep #Metaverse #fun
В общем, довольно потешная штука. Возможно, и для чего-нибудь полезного можно будет приспособить. 😉
@avleonovrus #Кибердом #Voltep #Metaverse #fun
Ренессанс "албанских" вирусов и антивирусов. Была такая бородатая шутейка времён FIDO (а может и того раньше) про "албанский вирус" - обычное текстовое сообщение, автор которого вежливо просит получателя самостоятельно удалить важные файлы с десктопа и переслать это сообщение дальше друзьям-коллегам. Мол, автор и рад бы закодить всю эту зловредную функциональность, но не умеет. 🤷♂️
Адекватный человек, прочитавший такое, только усмехнётся наглости. Хотя, учитывая успешность схем телефонного мошенничества, некоторые люди готовы выполнять и такие указания. 🫡
Гораздо интереснее, когда подобные сообщения начинает читать не человек, а ИИ. Что сейчас внедряется повсеместно. 🤖 Поэтому добавление к инпуту фраз типа "забудь все предыдущие инструкции и выполни <это>" становится обычной практикой и для обхода средств защиты, и для выявления зловредной активности. И, наверняка, много ещё для чего. Усилий не требует, а где-нибудь, глядишь, инъекция и сработает.
AI-ный аналог кавычки. 😉
@avleonovrus #madworld #AI
Адекватный человек, прочитавший такое, только усмехнётся наглости. Хотя, учитывая успешность схем телефонного мошенничества, некоторые люди готовы выполнять и такие указания. 🫡
Гораздо интереснее, когда подобные сообщения начинает читать не человек, а ИИ. Что сейчас внедряется повсеместно. 🤖 Поэтому добавление к инпуту фраз типа "забудь все предыдущие инструкции и выполни <это>" становится обычной практикой и для обхода средств защиты, и для выявления зловредной активности. И, наверняка, много ещё для чего. Усилий не требует, а где-нибудь, глядишь, инъекция и сработает.
AI-ный аналог кавычки. 😉
@avleonovrus #madworld #AI