На Anti-Malware вышла статья Алексея Дашкова, директора Центра продуктового менеджмента R-Vision, "Vulnerability management: как выстроить процесс управления уязвимостями правильно". R-Vision давно занимаются VM-темой, заявляют 10 лет, но раньше эта функциональность в решениях R-Vision не была основной, а детект уязвимостей реализовывался сторонними сканерами. В этом году они презентовали специализированный продукт R-Vision VM с собственными детектами. Статью можно рассматривать в контексте маркетинговой активности по продвижению нового продукта. 😉 Я прочитал статью и сделал выжимку.
1. Уязвимости присутствуют почти в любой инфраструктуре, их много, эксплуатация может привести к серьёзным последствиям.
2. Западные вендоры оставляют компании в РФ без поддержки и обновлений, поэтому требуется тщательная проработка VM-процесса.
3. В большинстве случаев уязвимости вызваны ошибками программирования, настройки или проектирования.
4. Важность VM подчеркивается в СТО БР ИББС, ISO 27002:2022, CIS Critical Security Controls, PCI DSS, руководстве по организации VM процесса ФСТЭК и др.
5. Для небольшой компании можно детектировать уязвимости сканером, а ставить задачи IT вручную силами одного ИБшника. С увеличением количества информационных систем и расширением IT-инфраструктуры требуется VM-процесс.
6. Частые трудности VM-процесса: контроль изменений IT-инфраструктуры, приоритизация уязвимостей, учёт компенсирующих мер, обоснование необходимости исправлять уязвимости для IT, отслеживание статусов/сроков устранения уязвимостей, мониторинг процесса и генерация отчётности.
7. Цикл Управления Уязвимостями: инвентаризация, выявление, приоритизация, устранение, контроль. Рекомендуется внедрять этапы последовательно.
8. Инвентаризация. Получить информацию об активах из системы мониторинга IT-инфраструктуры или CMDB, объединить активы в группы, определить ответственных, связать с подразделениями и бизнес-процессами (и др. типами используемых "нематериальных активов"), понять критическую значимость активов.
9. Выявление. С помощью сканера уязвимостей или вручную (red teaming). Выполнять постоянно.
10. Приоритизация. Можно использовать CVSS, алгоритм НКЦКИ (от меня: скорее нет - он для принятия решения о патчинге западного ПО), методику оценки критичности ФСТЭК. CVSS не учитывает эксплоиты (от меня: temporal учитывает, не учитывает активную эксплуатацию). Базовые варианты приоритизации (устранения): только критичные уязвимости, только уязвимости с эксплоитами, только удалённо эксплуатируемые, только на критичных активах. Можно комбинировать.
11. Устранение. Приведена схема. Ключевой аспект - взаимодействие с IT. Заключается в создании задач вручную и автоматизированно (от меня: с тасками аккуратнее). Каждая уязвимость должна проходить процесс обработки с оценкой применимости (от меня: может вырождаться в докажи-покажи). Обновления должны тестироваться. Если нельзя обновить, компенсирующие меры: переконфигурирование, ограничение использования ПО/оборудования, резервирование серверов/сет. оборудования, мониторинг эксплуатации уязвимости, СЗИ (firewall, антивирус).
12. Контроль. Оцениваем работу IT и вырабатываем решения по улучшению VM-процесса. Проверка через повторное сканирование или через ручную эксплуатацию. Формируйте отчётность.
13. Цель VM - выявить и устранить проблемы в защите до их превращения в угрозы для бизнеса.
14. К организации VM-процесса можно подходить по-разному, главное, чтобы уязвимости своевременно устранялись и злодеи не смогли их использовать.
15. При позиционировании R-Vision VM делают акцент на построение полного цикла VM и возможность строить процесс "для нескольких организаций в одной системе" (для сервис-провайдеров?).
Статья понравилась. 👍 Единственное, к сожалению, не увидел пропаганды безусловного регулярного патчинга. Про детекты маловато, особенно про то, что делать если для каких-то систем автоматических детектов нет. Про обработку и таски я по тексту отметил. Про трендовые уязвимости тоже не было, но думаю будет, когда появится такая функциональность.
@avleonovrus #RVision #RVisionVM #VMProcess
1. Уязвимости присутствуют почти в любой инфраструктуре, их много, эксплуатация может привести к серьёзным последствиям.
2. Западные вендоры оставляют компании в РФ без поддержки и обновлений, поэтому требуется тщательная проработка VM-процесса.
3. В большинстве случаев уязвимости вызваны ошибками программирования, настройки или проектирования.
4. Важность VM подчеркивается в СТО БР ИББС, ISO 27002:2022, CIS Critical Security Controls, PCI DSS, руководстве по организации VM процесса ФСТЭК и др.
5. Для небольшой компании можно детектировать уязвимости сканером, а ставить задачи IT вручную силами одного ИБшника. С увеличением количества информационных систем и расширением IT-инфраструктуры требуется VM-процесс.
6. Частые трудности VM-процесса: контроль изменений IT-инфраструктуры, приоритизация уязвимостей, учёт компенсирующих мер, обоснование необходимости исправлять уязвимости для IT, отслеживание статусов/сроков устранения уязвимостей, мониторинг процесса и генерация отчётности.
7. Цикл Управления Уязвимостями: инвентаризация, выявление, приоритизация, устранение, контроль. Рекомендуется внедрять этапы последовательно.
8. Инвентаризация. Получить информацию об активах из системы мониторинга IT-инфраструктуры или CMDB, объединить активы в группы, определить ответственных, связать с подразделениями и бизнес-процессами (и др. типами используемых "нематериальных активов"), понять критическую значимость активов.
9. Выявление. С помощью сканера уязвимостей или вручную (red teaming). Выполнять постоянно.
10. Приоритизация. Можно использовать CVSS, алгоритм НКЦКИ (от меня: скорее нет - он для принятия решения о патчинге западного ПО), методику оценки критичности ФСТЭК. CVSS не учитывает эксплоиты (от меня: temporal учитывает, не учитывает активную эксплуатацию). Базовые варианты приоритизации (устранения): только критичные уязвимости, только уязвимости с эксплоитами, только удалённо эксплуатируемые, только на критичных активах. Можно комбинировать.
11. Устранение. Приведена схема. Ключевой аспект - взаимодействие с IT. Заключается в создании задач вручную и автоматизированно (от меня: с тасками аккуратнее). Каждая уязвимость должна проходить процесс обработки с оценкой применимости (от меня: может вырождаться в докажи-покажи). Обновления должны тестироваться. Если нельзя обновить, компенсирующие меры: переконфигурирование, ограничение использования ПО/оборудования, резервирование серверов/сет. оборудования, мониторинг эксплуатации уязвимости, СЗИ (firewall, антивирус).
12. Контроль. Оцениваем работу IT и вырабатываем решения по улучшению VM-процесса. Проверка через повторное сканирование или через ручную эксплуатацию. Формируйте отчётность.
13. Цель VM - выявить и устранить проблемы в защите до их превращения в угрозы для бизнеса.
14. К организации VM-процесса можно подходить по-разному, главное, чтобы уязвимости своевременно устранялись и злодеи не смогли их использовать.
15. При позиционировании R-Vision VM делают акцент на построение полного цикла VM и возможность строить процесс "для нескольких организаций в одной системе" (для сервис-провайдеров?).
Статья понравилась. 👍 Единственное, к сожалению, не увидел пропаганды безусловного регулярного патчинга. Про детекты маловато, особенно про то, что делать если для каких-то систем автоматических детектов нет. Про обработку и таски я по тексту отметил. Про трендовые уязвимости тоже не было, но думаю будет, когда появится такая функциональность.
@avleonovrus #RVision #RVisionVM #VMProcess
В продолжение темы с R-Vision VM. 28 сентября, то есть уже завтра, R-Vision проводят конфу R-EVOlution Conf 2023 (игра слов в том, что EVO - это название их экосистемы продуктов), на которой будет как минимум 3 выступления/активности непосредственно связанных с R-Vision VM:
🔹 11:30-12:30 R-Vision VM - новый подход к управлению уязвимостями. Название интригующее. 😇
🔹 14:30-15:10 R-Vision VM - реальный кейс от заказчика. Т.к. докладывается здесь Олег Кусеров, директор по ИБ НРД (Национальный расчетный депозитарий), то можно предположить о каком заказчике пойдет речь.
🔹 16:05-17:05 Интерактивный круглый стол нa тему SIEM/VM.
Я зарегался. Планирую заслушать живую трансляцию или в записи и затем отрефлексировать. 😉
@avleonovrus #RVision #RVisionVM #RVisionConf
🔹 11:30-12:30 R-Vision VM - новый подход к управлению уязвимостями. Название интригующее. 😇
🔹 14:30-15:10 R-Vision VM - реальный кейс от заказчика. Т.к. докладывается здесь Олег Кусеров, директор по ИБ НРД (Национальный расчетный депозитарий), то можно предположить о каком заказчике пойдет речь.
🔹 16:05-17:05 Интерактивный круглый стол нa тему SIEM/VM.
Я зарегался. Планирую заслушать живую трансляцию или в записи и затем отрефлексировать. 😉
@avleonovrus #RVision #RVisionVM #RVisionConf
Сегодня в оффлайне на конференции R-Vision. Планирую поучаствовать в "Интерактивном круглом столе нa тему SIEM/VM". Подключайтесь к трансляции в 16:05. 😉
@avleonovrus #RVision #RVisionVM #RVisionConf
@avleonovrus #RVision #RVisionVM #RVisionConf
Что я вынес из доклада про R-Vision VM. Раньше конкурентным преимуществом R-Vision было то, что они интегрируются со всеми сторонними решениями для детектирования уязвимостей, существующими на рынке. Но они пришли к тому, что некоторые задачи могут быть решены только на своём стеке, включающих в том числе и свой детект. С другой стороны, закрываться от других продуктов они не собираются, возможности для интеграции останутся.
В части детектов R-Vision VM это OVAL/SCAP сканер. Пока, в рамках MVP, поддерживаются только Linux дистрибутивы.
Западные:
🔹 Debian v. 7-11
🔹 RHEL v. 6-9
🔹 Ubuntu v. 14.04-23.04
🔹 Suse SLED/SLES 11, 12, 15
Российские:
🔻 RedOS v. 7.3
🔻 AstraLinux v. 17
Расчёт уязвимостей происходит на сервере.
Поддержку Windows собираются добавить в конце года - начале следующего.
Куда идут? "VM третьего поколения":
🔸 Активо-центричный подход
🔸 Автоматические сценарии обработки
🔸 Приоритизация с учётом ценности актива
🔸 Патч менеджмент
@avleonovrus #RVision #RVisionVM #RVisionConf
В части детектов R-Vision VM это OVAL/SCAP сканер. Пока, в рамках MVP, поддерживаются только Linux дистрибутивы.
Западные:
🔹 Debian v. 7-11
🔹 RHEL v. 6-9
🔹 Ubuntu v. 14.04-23.04
🔹 Suse SLED/SLES 11, 12, 15
Российские:
🔻 RedOS v. 7.3
🔻 AstraLinux v. 17
Расчёт уязвимостей происходит на сервере.
Поддержку Windows собираются добавить в конце года - начале следующего.
Куда идут? "VM третьего поколения":
🔸 Активо-центричный подход
🔸 Автоматические сценарии обработки
🔸 Приоритизация с учётом ценности актива
🔸 Патч менеджмент
@avleonovrus #RVision #RVisionVM #RVisionConf
Ещё одно размышление после конференции R-Vision, про таски на исправление уязвимостей. На этой теме был акцент и в основном выступлении про R-Vision VM, и в кейсе НРД. Несмотря на то, что таски могут быть предметом долгих разбирательств IT и ИБ, имхо, таски должны быть. Почему?
1. Слова (как и дашборды, доступ для IT-шников в VM-систему, нотификации в почте/мессенджерах и прочее) к делу не пришьёшь. А тут формальная задачка. С критичностью, исполнителем и датой заведения. И для аудитов есть, что показать, и в случае инцидента пригодится. 😏
2. Вполне вероятно, что в организации уже внедрены процессы оценки эффективности работы подразделений на основе анализа статусов тасков, можно и исправление уязвимостей оценивать по аналогии.
3. Руководство ФСТЭК требует заводить таски. Можно, конечно, рассуждать об обязательности этого руководства, но если можно соответствовать, то лучше соответствовать. 😉
Какие это должны быть таски?
Имхо, это должны быть атомарные таски 1 актив и 1 уязвимость. Почему так?
1. Удобно отслеживать реальный прогресс. Иначе, если сделать связь один ко многим или многие ко многим, как абсолютно справедливо заметил в своём вчерашнем докладе Олег Кусеров, это будет приводить к большому количеству частично выполненных тасков.
2. Удобно менять критичность таска в случае изменения критичности уязвимости или актива.
3. Удобно делать интеграцию с системами управления уязвимостями. По сути таск просто привязывается к статусу уязвимости на активе.
Сколько таких тасков будет? Допустим, у нас для одного Linux хоста за месяц выходят 100 новых уязвимостей. Допустим, у нас 10000 Linux хостов в инфраструктуре. Получается миллион тасков за месяц. 12 миллионов в год. И это только Linux!
Отсюда следует:
1. Система для учёта тасков должна быть готова к таким объемам.
2. Вручную работать с такими тасками практически нереально.
Таски должны заводиться и закрываться автоматически по результатам детектирования уязвимостей.
✅ Таким образом ITшники, которые будут выполнять регулярный патчинг своих систем, возможно вообще без оглядки на продетектированные уязвимости, будут, в целом, автоматически соответствовать требованиям по исправлению уязвимостей и будут молодцы. 👍
❓А те ITшники, которые считают, что полное регулярное обновление им не подходит, смогут разбираться с каждой уязвимостью отдельно и тем способом, который сочтут нужным. Включая их ручную обработку. 🤷♂️ Может в процессе они скорректирую свои взгляды относительно регулярных обновлений. 😏
@avleonovrus #RVision #RVisionVM #RVisionConf #VulnerabilityRemediation #VulnerabilityRemediationTasks #VMprocess
1. Слова (как и дашборды, доступ для IT-шников в VM-систему, нотификации в почте/мессенджерах и прочее) к делу не пришьёшь. А тут формальная задачка. С критичностью, исполнителем и датой заведения. И для аудитов есть, что показать, и в случае инцидента пригодится. 😏
2. Вполне вероятно, что в организации уже внедрены процессы оценки эффективности работы подразделений на основе анализа статусов тасков, можно и исправление уязвимостей оценивать по аналогии.
3. Руководство ФСТЭК требует заводить таски. Можно, конечно, рассуждать об обязательности этого руководства, но если можно соответствовать, то лучше соответствовать. 😉
Какие это должны быть таски?
Имхо, это должны быть атомарные таски 1 актив и 1 уязвимость. Почему так?
1. Удобно отслеживать реальный прогресс. Иначе, если сделать связь один ко многим или многие ко многим, как абсолютно справедливо заметил в своём вчерашнем докладе Олег Кусеров, это будет приводить к большому количеству частично выполненных тасков.
2. Удобно менять критичность таска в случае изменения критичности уязвимости или актива.
3. Удобно делать интеграцию с системами управления уязвимостями. По сути таск просто привязывается к статусу уязвимости на активе.
Сколько таких тасков будет? Допустим, у нас для одного Linux хоста за месяц выходят 100 новых уязвимостей. Допустим, у нас 10000 Linux хостов в инфраструктуре. Получается миллион тасков за месяц. 12 миллионов в год. И это только Linux!
Отсюда следует:
1. Система для учёта тасков должна быть готова к таким объемам.
2. Вручную работать с такими тасками практически нереально.
Таски должны заводиться и закрываться автоматически по результатам детектирования уязвимостей.
✅ Таким образом ITшники, которые будут выполнять регулярный патчинг своих систем, возможно вообще без оглядки на продетектированные уязвимости, будут, в целом, автоматически соответствовать требованиям по исправлению уязвимостей и будут молодцы. 👍
❓А те ITшники, которые считают, что полное регулярное обновление им не подходит, смогут разбираться с каждой уязвимостью отдельно и тем способом, который сочтут нужным. Включая их ручную обработку. 🤷♂️ Может в процессе они скорректирую свои взгляды относительно регулярных обновлений. 😏
@avleonovrus #RVision #RVisionVM #RVisionConf #VulnerabilityRemediation #VulnerabilityRemediationTasks #VMprocess
Подбил итоги сентября для англоязычного канала и блога. Сентябрь получился отличный! 😊 Много разнообразных активностей удалось реализовать и разрулить. А с учётом непубличного так и вообще удивительно как всё в итоге удачно сложилось. 🙂 По Patch Tuesday: обратите внимание, что libwebp CVE-2023-4863 теперь идёт с уровнем Urgent, т.к. на гитхабе выложили эксплоит.
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia
Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Main Job
01:57 Goodbye Tinkoff
Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
@avleonovrus #VulnerabilityManagement #Vulristics #ASEAN #Bahasa #PermiraMengajar #Bitrix #BMSTU #EoP #Exchange #Forrester #FSTEC #GigaOm #Indonesia #LevPaley #libwebp #Linux #MaximKharask #Microsoft #NTLM #OVAL #PavelPopov #podcast #PositiveTechnologies #Qualys #RVision #SCAP #Shellshock #Silverlight #ThemeBleed #Tinkoff #КиберДуршлаг #ПрожекторпоИБ
---
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management course
00:52 Bahasa Indonesia
Russian Podcasts
01:20 Прожектор по ИБ ("Information Security Spotlight") podcast
01:47 КиберДуршлаг ("Cyber Colander") by Positive Technologies
Main Job
01:57 Goodbye Tinkoff
Patch Tuesday
02:54 September Microsoft Patch Tuesday
03:11 Remote Code Execution – Microsoft Edge/libwebp (CVE-2023-4863), Memory Corruption – Microsoft Edge (CVE-2023-4352)
04:11 Remote Code Execution – Windows Themes (CVE-2023-38146) "ThemeBleed"
04:48 Information Disclosure (NTLM relay attack) – Microsoft Word (CVE-2023-36761)
05:19 Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802)
05:36 Remote Code Executions - Microsoft Exchange (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756)
Other Vulnerabilities
06:54 Bitrix CMS RCE (BDU:2023-05857)
07:32 RHEL/CentOS 7 can’t be detected, can’t be fixed vulnerability (CVE-2022-1012)
08:09 Qualys TOP 20 vulnerabilities
Vulnerability Management Market
09:06 Forrester and GigaOm VM Market reports
09:49 R-Vision VM
🎞 Video
🎞 Video2 (for Russia)
📘 Blogpost
@avleonovrus #VulnerabilityManagement #Vulristics #ASEAN #Bahasa #PermiraMengajar #Bitrix #BMSTU #EoP #Exchange #Forrester #FSTEC #GigaOm #Indonesia #LevPaley #libwebp #Linux #MaximKharask #Microsoft #NTLM #OVAL #PavelPopov #podcast #PositiveTechnologies #Qualys #RVision #SCAP #Shellshock #Silverlight #ThemeBleed #Tinkoff #КиберДуршлаг #ПрожекторпоИБ
YouTube
September 2023: VM courses, Bahasa Indonesia, Russian Podcasts, Goodbye Tinkoff, MS Patch Tuesday
Hello everyone! On the last day of September, I decided to record another retrospective episode on how my Vulnerability Management month went.
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management…
Education
00:09 BMSTU online cyber security course
00:33 Positive Technologies online Vulnerability Management…
Традиционный эфир на AM Live по Vulnerability Management-у в этом году подкрался для меня неожиданно. Заметил за несколько минут до начала. 😅
Довольно сильно изменился состав участников.
В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»/VulnsIO
Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision
И остались представители от:
🔹 Positive Technologies
🔹 R-Vision
🔹 «АЛТЭКС-СОФТ»/RedCheck
🔹 «Эшелон Технологии»
🔹 Spacebit
Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.
Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.
@avleonovrus #AntiMalware #AMLive #VMProcess #BIZONE #VulnsIO #SolidLabVMS #Solar #SecurityVision #PositiveTechnologies #RVision #RedCheck #Echelon #Spacebit
Довольно сильно изменился состав участников.
В этом году НЕ участвуют в дискуссии представители от:
🔹 BIZONE
🔹 «Фродекс»/VulnsIO
Появились новые представители от:
🔹 SolidLab VMS
🔹 ГК «Солар»
🔹 Security Vision
И остались представители от:
🔹 Positive Technologies
🔹 R-Vision
🔹 «АЛТЭКС-СОФТ»/RedCheck
🔹 «Эшелон Технологии»
🔹 Spacebit
Блок вопросов "Рынок систем управления уязвимостями в России" превратился в "Процесс управления уязвимостями по-российски", что тоже довольно символично.
Как обычно, предвещаю интересный обмен позициями VM-вендоров. 😉 Собираюсь отслеживать на что они будут делать акценты.
@avleonovrus #AntiMalware #AMLive #VMProcess #BIZONE #VulnsIO #SolidLabVMS #Solar #SecurityVision #PositiveTechnologies #RVision #RedCheck #Echelon #Spacebit
Разобрал заметки про эфир AM Live по Vulnerability Management-у. Эфир шел чуть меньше 3 часов. Ух! Всё ещё самое концентрированное мероприятие по VM-у в России. 🔥
Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:
🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".
В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:
🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM-а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я-то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management-а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM-а за последние 2 года стало проще из-за публичных инцидентов.
Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили - жаль. 😔
Ответы вендоров про отличия от конкурентов:
🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ»/RedCheck. Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R-Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5-20 секунд на хост. Своя тикетница.
🔸 Spacebit/X-Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉
Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.
Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂
@avleonovrus #AntiMalware #AMLive #VMProcess #BIZONE #VulnsIO #SolidLabVMS #Solar #SecurityVision #PositiveTechnologies #RVision #RedCheck #Echelon #Spacebit
Каких-то явных клинчей VM-вендоров практически не было. А ведь это самое интересненькое. 😈 Отметил:
🔻 От Александра Дорофеева по поводу стоимости решения. Эшелон активно конкурирует по цене. Павел Попов хорошо это парировал обращением к клиентам: "смотрите сами, что вам нравится и подходит по бюджетам".
🔻 Тоже от Александра Дорофеева, что детект поиском по базе лучше, чем детект скриптами или OVAL-контентом. Имхо, разницы какой-то нет, зависит от реализации и когда решение "ищет по базе" сложно понять какие уязвимости оно в принципе может детектировать 🤷♂️.
🔻Небольшие пикировки по поводу использования нескольких сканеров в решении: те, кто умеют такое, говорили, что это must have, а те, кто не умеют, либо молчали, либо переводили в русло "а кто будет отвечать за качество детектирования в сторонних (в том числе бесплатных) сканерах".
В остальном было всё тихо-мирно и в одном ключе. Основные тезисы:
🔹 VM про совместную работу в компании. Важность VM должен осознавать IT, ИБ, Бизнес.
🔹 VM-щик в одиночку может реализовывать только функции контроля.
🔹 Цель VM-а в том, чтобы сделать взлом компании через известные уязвимости невозможным (имхо, правильнее говорить про увеличение стоимости атаки)
🔹 Внедрение компенсирующих мер это лучше, чем ничего, но это неполное исправление. "А если WAF упадёт, что тогда?"
🔹 Не нужно исправлять все уязвимости, нужно определять критичные и исправлять их. Тут меня резко резануло, т.к. я-то как раз за то, что нужно стремиться к детектированию и исправлению всех уязвимостей. 🙄
🔹 Нулевой этап Vulnerability Management-а это Asset Management. Желательно, чтобы была интерактивная визуализация с подсветкой Kill Chain-ов и т.п.
🔹 Базы детектов должны обновляться очень быстро, чтобы можно было исправлять критичные уязвимости за 24 часа.
🔹 Обосновывать необходимость VM-а за последние 2 года стало проще из-за публичных инцидентов.
Про то, что нужно договариваться о безусловных регулярных обновлениях с IT в этот раз не говорили - жаль. 😔
Ответы вендоров про отличия от конкурентов:
🔸 ГК «Солар». Вообще не VM-вендор, а сервис, который может использовать решения разных вендоров. Можно добавлять свои сканеры и детекты.
🔸 SolidLab VMS. Не просто вендор, а решение предоставляющее отвалидированные уязвимости с remediation-ами, настроенными под заказчиков. Вдохновлялись Qualys-ами.
🔸 «АЛТЭКС-СОФТ»/RedCheck. Используют открытый стандарт SCAP/OVAL, можно импортить свой OVAL. Пока не VM-решение, а сканер, но активно работают над VM-ом (пока в аналитике). OVALdb идёт как отдельный продукт.
🔸 «Эшелон Технологии»/Сканер ВС. Цена низкая, детект быстрым поиском по базе (+ перерасчет уязвимостей без пересканирования), работает на Astra Linux.
🔸 Security Vision. "Настроенный SOAR в виде VM".
🔸 R-Vision. Полноценное решение от управления активами до детекта и исправления уязвимостей. Быстрые детекты 5-20 секунд на хост. Своя тикетница.
🔸 Spacebit/X-Config. Compliance Management. Хорошая производительность, гибкие политики, поддержка российского ПО.
🔸 Positive Technologies/MaxPatrol VM. Asset Management, перерасчет уязвимостей без пересканирования, Compliance Management. Подробности о новых фичах будут на PHDays. 😉
Направление развития у всех более-менее схожи и укладываются в общемировые тренды: автоматизация исправления уязвимостей (VMDR. autopatching), использование AI для приоритизации уязвимостей и упрощения работы. Ну и общее подтягивание до уровня ТОП3 западных решений.
Понравилось, что в одном из голосований по поводу проблем VM-решений большая часть опрошенных (32%) высказалась по поводу полноты базы детектов и качества детектирования. Т.е. за хардкорную базовую функциональность. 👍 Хочется надеяться, что это будут учитывать и VM-вендоры выставляя приоритеты своей разработки. 🙂
@avleonovrus #AntiMalware #AMLive #VMProcess #BIZONE #VulnsIO #SolidLabVMS #Solar #SecurityVision #PositiveTechnologies #RVision #RedCheck #Echelon #Spacebit
Думаю о том, что пора бы уже обновить карту отечественных вендоров Средств Управления Уязвимостями (СУУ). Какие изменения напрашиваются с прошлого года:
🔹 В R-Vision VM теперь есть свои детекты уязвимостей. Значит следует добавить это решение и в категорию СДУИ.
🔹 Также в СДУИ стоит добавить SolidLab VMS.
🔹 Логотип Фродекс стоит заменить на VulnsIO для большей информативности, т.к. в основном у них этот бренд используется для VM-а.
Если есть какие-то идеи по изменениям в карте (чего-то добавить, чего-то убрать, поменять описание и т.д.), пишите, пожалуйста, в личку. 🙂
@avleonovrus #VMmap #RVision #RVisionVM #Frodex #VulnsIO #SolidLab #SolidLabVMS
🔹 В R-Vision VM теперь есть свои детекты уязвимостей. Значит следует добавить это решение и в категорию СДУИ.
🔹 Также в СДУИ стоит добавить SolidLab VMS.
🔹 Логотип Фродекс стоит заменить на VulnsIO для большей информативности, т.к. в основном у них этот бренд используется для VM-а.
Если есть какие-то идеи по изменениям в карте (чего-то добавить, чего-то убрать, поменять описание и т.д.), пишите, пожалуйста, в личку. 🙂
@avleonovrus #VMmap #RVision #RVisionVM #Frodex #VulnsIO #SolidLab #SolidLabVMS
Сценарии таргетированного фишинга от имени службы поддержки. Материал от Известий и R-Vision.
✉️ Письмо от поддержки о смене доменного адреса внутренних рабочих систем. Просят перейти по ссылке и проверить доступ к своим проектам.
✉️ Письмо от поддержки о "выборочном тестировании перехода пользователей на новый алгоритм шифрования при работе с почтой". Также просят перейти по ссылке.
В обоих случаях собирают доменные учётки.
Маячки:
🪝 письмо от настоящего сотрудника компании
🪝 письмо персонифицированное
🪝 реальные имена сервисов, используемых в компании
Про "алгоритм шифрования" мне раньше не встречалось. А вот аналогичное про "ящик переполнен, нажмите, чтобы увеличить размер" или "переход на новый Exchange" - прямо классика с очень высокой эффективностью попадания. 🤷♂️ Обязательно попробуйте такие сценарии в своих антифишинговых рассылках и курсах.
@avleonovrus #phishing #AntiPhishing #HumanVM #RVision
✉️ Письмо от поддержки о смене доменного адреса внутренних рабочих систем. Просят перейти по ссылке и проверить доступ к своим проектам.
✉️ Письмо от поддержки о "выборочном тестировании перехода пользователей на новый алгоритм шифрования при работе с почтой". Также просят перейти по ссылке.
В обоих случаях собирают доменные учётки.
Маячки:
🪝 письмо от настоящего сотрудника компании
🪝 письмо персонифицированное
🪝 реальные имена сервисов, используемых в компании
Про "алгоритм шифрования" мне раньше не встречалось. А вот аналогичное про "ящик переполнен, нажмите, чтобы увеличить размер" или "переход на новый Exchange" - прямо классика с очень высокой эффективностью попадания. 🤷♂️ Обязательно попробуйте такие сценарии в своих антифишинговых рассылках и курсах.
@avleonovrus #phishing #AntiPhishing #HumanVM #RVision
TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
@avleonovrus #TAdviser #Stingray #AppSecSolutions #Swordfish #SecurityVision #MTSRed #StartX #Profiscope #Echelon #Solar #ИСПРАН #RVision #Neobit #PositiveTechnologies #ALTXSoft #BIFIT #Crosstech #GIS #Frodex #BiZone #PVSStudio #Pentestit
В прошлом году там было 15 вендоров, в этом 21.
🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl
Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔
@avleonovrus #TAdviser #Stingray #AppSecSolutions #Swordfish #SecurityVision #MTSRed #StartX #Profiscope #Echelon #Solar #ИСПРАН #RVision #Neobit #PositiveTechnologies #ALTXSoft #BIFIT #Crosstech #GIS #Frodex #BiZone #PVSStudio #Pentestit
Вышло обновление R‑Vision VM 5.4. В блог-посте его называют "первое масштабное обновление", видимо с момента релиза в конце сентября прошлого года. 🤔 Проверил, что новостей про VM действительно с того времени не было. Что представлено:
🔹 Сканирование в режиме "чёрного ящика" с возможностью брутфорса SSH, RDP, Telnet, SMB, FTP и др.
🔹 Сканирование 50 видов third-party ПО (зарубежного и российского), включая Adobe Acrobat, Google Chrome, Mozilla Firefox, WinRAR, продуктов Microsoft.
🔹 Интеграция с БДУ ФСТЭК.
🔹 Дополнительное поле с информацией об активно эксплуатируемых уязвимостях. Трендовые уязвимости в тренде. 😅
Вот так вроде стараешься мониторить новости российских VM-ных вендоров, а тут оп - уже версия 5.4. И, судя по списку софта, виндовый сканер незаметно появился, на старте не было. 🙂👍
@avleonovrus #RVision #RVisionVM
🔹 Сканирование в режиме "чёрного ящика" с возможностью брутфорса SSH, RDP, Telnet, SMB, FTP и др.
🔹 Сканирование 50 видов third-party ПО (зарубежного и российского), включая Adobe Acrobat, Google Chrome, Mozilla Firefox, WinRAR, продуктов Microsoft.
🔹 Интеграция с БДУ ФСТЭК.
🔹 Дополнительное поле с информацией об активно эксплуатируемых уязвимостях. Трендовые уязвимости в тренде. 😅
Вот так вроде стараешься мониторить новости российских VM-ных вендоров, а тут оп - уже версия 5.4. И, судя по списку софта, виндовый сканер незаметно появился, на старте не было. 🙂👍
@avleonovrus #RVision #RVisionVM
11 октября состоится конференция R-Vision R-EVOLUTION. Там будут доклады про R-Vision VM. 🕵️
В слоте 14:00-15:00 обещают три продуктовых доклада:
🔹 Про базу уязвимостей R-Vision: какие процессы построили и какие технологии реализовали
🔹 Про процесс разработки VM-продукта с собственным сканером уязвимостей
🔹 Про отслеживание уязвимых активов в инфраструктуре и устранение уязвимостей
В слоте с 16:00-17:15 будет доклад про опыт автоматизации управления уязвимостями в ВТБ.
Также с 17:00 до 18:00 будут показывать демо R-Vision VM.
📍 Площадка: Центр событий РБК на Павелецкой.
📹 Онлайн-трансляция будет.
Важное для российского VM-рынка мероприятие, так что собираюсь смотреть. 🙂
PS: сорри за дубль, случайно из канала удалил вчерашний пост. 🤷♂️
@avleonovrus #RVision #RVisionVM #RVisionConf
В слоте 14:00-15:00 обещают три продуктовых доклада:
🔹 Про базу уязвимостей R-Vision: какие процессы построили и какие технологии реализовали
🔹 Про процесс разработки VM-продукта с собственным сканером уязвимостей
🔹 Про отслеживание уязвимых активов в инфраструктуре и устранение уязвимостей
В слоте с 16:00-17:15 будет доклад про опыт автоматизации управления уязвимостями в ВТБ.
Также с 17:00 до 18:00 будут показывать демо R-Vision VM.
📍 Площадка: Центр событий РБК на Павелецкой.
📹 Онлайн-трансляция будет.
Важное для российского VM-рынка мероприятие, так что собираюсь смотреть. 🙂
PS: сорри за дубль, случайно из канала удалил вчерашний пост. 🤷♂️
@avleonovrus #RVision #RVisionVM #RVisionConf
Сегодня на конференции R-Vision R-EVOLUTION. Спасибо большое коллегам за приглашение! 🙂 Если тоже тут, приходите пообщаться про VM.
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
Впечатления от R-Vision VM на конференции R-Vision R-EVOLUTION. По сравнению с прошлым годом, прогресс налицо. 👍 Если в MVP сканера прошлого года угадывался OpenSCAP с готовым OVAL-контентом от Linux-вендоров, то в этом году видно, что разработкой контента для детектирования уязвимостей занялись всерьёз.
🔹 Команда разработки базы уязвимостей уже 20 человек в 4 группах.
🔹 Количество правил детектирования >300000. В том числе поддержка Windows и >100 распространенных 3d party софтов.
🔹 Представители команды подробно рассказывают про процесс разработки правил детектирования: как используют модифицированный OVAL, "патчат" ошибки в критериях наличия уязвимостей в бюллетенях вендоров и т.п.
В интерфейсе понравился расчёт критичности уязвимости в зависимости от типа хоста (говорят, что по методике ФСТЭК).
В роадмапе на 2025 год интересен безагентный Compliance с пользовательскими проверками, поддержка контейнеризации и Web-сканер.
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
🔹 Команда разработки базы уязвимостей уже 20 человек в 4 группах.
🔹 Количество правил детектирования >300000. В том числе поддержка Windows и >100 распространенных 3d party софтов.
🔹 Представители команды подробно рассказывают про процесс разработки правил детектирования: как используют модифицированный OVAL, "патчат" ошибки в критериях наличия уязвимостей в бюллетенях вендоров и т.п.
В интерфейсе понравился расчёт критичности уязвимости в зависимости от типа хоста (говорят, что по методике ФСТЭК).
В роадмапе на 2025 год интересен безагентный Compliance с пользовательскими проверками, поддержка контейнеризации и Web-сканер.
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
Cyber Media выпустили аналитическое сравнение российских продуктов по Управлению Уязвимостями. В сравнение попали 8 on-prem продуктов:
🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)
Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂
Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅
Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.
В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.
@avleonovrus #CyberMedia #PositiveTechnologies #MaxPatrol #MaxPatrol8 #MaxPatrolVM #RVision #RVisionVM #AltxSoft #RedCheck #ScanFactory #ScanFactoryVM #ScanOVAL #SecurityVision #SecurityVisionVM #NPOEchelon #ScanerVS
🔹 MaxPatrol 8
🔹 MaxPatrol VM
🔹 R-Vision VM
🔹 RedCheck
🔹 ScanFactory VM
🔹 ScanOVAL
🔹 Security Vision VM
🔹 Сканер-ВС 7 (непубличная бета)
Подготовка таких сравнений дело трудоёмкое, неблагодарное, я бы даже сказал рискованное. Обязательно найдутся недовольные. Особенно, если сравнение предполагает какое-то ранжирование. 🥇🥈🥉 В документе в явном виде оценки решений не приводятся, но порядок перечисления решений в выводах наводит на некоторые предпочтения авторов. 😏 По самим выводам могу сказать только то, что я обращал бы внимание на другие моменты. Вот не думаю, что сканирование портов nmap-ом (или не nmap-ом) является чем-то определяющим для VM-решения. 🙂
Основная часть документа это 2 сравнительные таблицы по "Основным критериям" и "Расширенным критериям". Основные критерии авторы сформировали сами, расширенные - с учётом предложений от участников. Заполнение таблицы делалось путём общения с вендорами, клиентами, интеграторами, экспертами-консультантами. Если что, меня к этому ни в каком виде не привлекали. 😅
Определение критериев сравнения - суперсубъективная вещь. Какие критерии выберешь, такие результаты и получишь. 😏 Как по мне, это сравнение очень слабо отражает возможности решений по непосредственному детектированию уязвимостей, буквально только одним пунктом "5.18. Список поддерживаемых для сканирования систем/решений" (плюс пара пунктов про Docker). Здесь я хотел бы видеть гораздо большую детализацию, хотя и понимаю, что это весьма трудоёмко.
В целом, документ очень интересный, объёмный и, я уверен, полезный для российского VM-сообщества. И для клиентов, и для вендоров. Как минимум как основа для собственных сравнений. 😉 Рекомендую ознакомиться.
@avleonovrus #CyberMedia #PositiveTechnologies #MaxPatrol #MaxPatrol8 #MaxPatrolVM #RVision #RVisionVM #AltxSoft #RedCheck #ScanFactory #ScanFactoryVM #ScanOVAL #SecurityVision #SecurityVisionVM #NPOEchelon #ScanerVS
Compliance-сканирование в R-Vision VM. Эта фича была в роадмапе R-Vision на Q1. Уложились. 👍
Пока реализованы только низкоуровневые технические стандарты CIS Benchmarks БЕЗ маппинга на высокоуровневые (PCI DSS, ISO 27001 и т.п.). Полный список не предоставляют, но сообщают, что это стандарты "для различных ОС Linux и Windows, сетевых устройств Cisco, ПО (Apache Tomcat, Microsoft Exchange и др.) и СУБД (Oracle, MSSQL и др.)".
Для примера показывают 16 стандартов для Ubuntu 24.04 , Rocky Linux 8/9, RHEL 8/9, Microsoft Windows Server 2016/2022, Windows 10/11, Cisco NX-OS, Cisco IOS XR7.x/XE17.x/17.x, Cisco ASA.
❗ Есть возможность загружать собственные проверки в YAML файлах. Формат немного напоминает Wazuh SCA, но не он. Вполне вероятно, что формат кастомный. Стандарты CIS из коробки реализованы на таких же ямликах. Формат гибкий. Например, позволяет проверять переменные, инициализируемые результатами выполнения команды на хосте (sshexec). 👍
@avleonovrus #RVision #RVisionVM #Compliance #CIS
Пока реализованы только низкоуровневые технические стандарты CIS Benchmarks БЕЗ маппинга на высокоуровневые (PCI DSS, ISO 27001 и т.п.). Полный список не предоставляют, но сообщают, что это стандарты "для различных ОС Linux и Windows, сетевых устройств Cisco, ПО (Apache Tomcat, Microsoft Exchange и др.) и СУБД (Oracle, MSSQL и др.)".
Для примера показывают 16 стандартов для Ubuntu 24.04 , Rocky Linux 8/9, RHEL 8/9, Microsoft Windows Server 2016/2022, Windows 10/11, Cisco NX-OS, Cisco IOS XR7.x/XE17.x/17.x, Cisco ASA.
❗ Есть возможность загружать собственные проверки в YAML файлах. Формат немного напоминает Wazuh SCA, но не он. Вполне вероятно, что формат кастомный. Стандарты CIS из коробки реализованы на таких же ямликах. Формат гибкий. Например, позволяет проверять переменные, инициализируемые результатами выполнения команды на хосте (sshexec). 👍
@avleonovrus #RVision #RVisionVM #Compliance #CIS
На следующей неделе, 23 апреля, планирую участвовать в R-Vision R-EVOlution Conference. В 14:00 начнётся панельная дискуссия "Тотальный VM-разбор: вендор, заказчик и ML против уязвимостей". Очень приятно, что коллеги из R-Vision пригласили в дискуссию представителя Positive Technologies (меня 🙂) и RedCheck (Сергея Уздемира). Не часто конкурентам дают слово на вендорских мероприятиях. Большой респект R-Vision за это! 👍👏
Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).
➡️ Регистрация на сайте
📍 Loft Hall и онлайн
@avleonovrus #RVision #RVisionVM #RVisionConf #Event #PositiveTechnologies #RedCheck
Собираюсь говорить про БОСПУУ, контроль качества сканирования, почему VM-процесс становится ущербным и как может выглядеть осознанный подход к VM-у. В общем, о всех тех вещах, где видится большой потенциал для взаимодействия VM-вендоров, независимо от особенностей их продуктов и маркетинговых стратегий. 🙂 Будет интересно получить обратную связь от участвующих в дискуссии представителей клиентов (Сбертех, Вымпелком, Агроэко).
➡️ Регистрация на сайте
📍 Loft Hall и онлайн
@avleonovrus #RVision #RVisionVM #RVisionConf #Event #PositiveTechnologies #RedCheck
Про R-Vision R-EVOlution Conference 2025. Впечатления очень приятные. 🙂 Хорошо пообщались и на сцене, и в кулуарах. На сцене много времени уделили качеству сканирования и контролю активов. 😇
Я выкладывал тезисы и фоточки с мероприятия в лайв-канале. Основные моменты:
🔹 Перевод решений R-Vision на новую единую платформу EVO. Уже перевели VM и SIEM.
🔹 Заход в IT-сегмент - анонс решений CMDB, ITSM, ITAM, DGP. 👍 ИБ-процессы (включая VM) должны начинаться с наведения порядка в инфраструктуре. Иначе толку будет мало.
🔹 Новые фичи VM-а: сканирование в режиме комплаенс, новые агенты, поиск по базе детектируемых уязвимостей из интерфейса 🔥, плейбуки для автоматизации. В роадмапе на 2025 web-сканы, сканирование контейнеров, гипервизоров, расширение покрытия сетевых устройств, детекты без перескана.
Из минусов: в этот раз техническим командам R-Vision не дали слово в основной программе. 🤷♂️ В прошлом году мне очень нравилась эта фишечка. А так всё круто. 👍🙂
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
Я выкладывал тезисы и фоточки с мероприятия в лайв-канале. Основные моменты:
🔹 Перевод решений R-Vision на новую единую платформу EVO. Уже перевели VM и SIEM.
🔹 Заход в IT-сегмент - анонс решений CMDB, ITSM, ITAM, DGP. 👍 ИБ-процессы (включая VM) должны начинаться с наведения порядка в инфраструктуре. Иначе толку будет мало.
🔹 Новые фичи VM-а: сканирование в режиме комплаенс, новые агенты, поиск по базе детектируемых уязвимостей из интерфейса 🔥, плейбуки для автоматизации. В роадмапе на 2025 web-сканы, сканирование контейнеров, гипервизоров, расширение покрытия сетевых устройств, детекты без перескана.
Из минусов: в этот раз техническим командам R-Vision не дали слово в основной программе. 🤷♂️ В прошлом году мне очень нравилась эта фишечка. А так всё круто. 👍🙂
@avleonovrus #RVision #RVisionVM #RVisionConf #Event
Результаты опроса R-Vision: около 80% компаний считают качество сканирования ключевым критерием выбора VM-решений. В опросе приняли участие 83 респондента. Это были ИБ-cпециалисты различного уровня (от линейных сотрудников до CISO), работающие в компаниях разного размера (от SMB до Enterprise) и из различных отраслей (финансы, промышленность, ИТ, ГОСы, нефтегаз, ритейл, транспорт, телекомы, энергетика).
Результаты выглядят вполне адекватно:
🔹 Чем крупнее компания, тем более зрелый там VM-процесс.
🔹 Главный критерий выбора VM-решений - широкое покрытие ОС и приложений. Также важны скорость, стабильность и минимизация фолзов.
Хочется надеяться, что как можно больше VM-вендоров ознакомятся с результатами этого опроса и начнут уделять приоритетное внимание разработке правил детектирования уязвимостей и тестированию качества их работы. 🙏 То есть той базовой функциональности, без которой все остальные "высокоуровневые" фичи не имеют никакого смысла. 🤷♂️😉
@avleonovrus #detection #VMprocess #RVision
Результаты выглядят вполне адекватно:
🔹 Чем крупнее компания, тем более зрелый там VM-процесс.
🔹 Главный критерий выбора VM-решений - широкое покрытие ОС и приложений. Также важны скорость, стабильность и минимизация фолзов.
Хочется надеяться, что как можно больше VM-вендоров ознакомятся с результатами этого опроса и начнут уделять приоритетное внимание разработке правил детектирования уязвимостей и тестированию качества их работы. 🙏 То есть той базовой функциональности, без которой все остальные "высокоуровневые" фичи не имеют никакого смысла. 🤷♂️😉
@avleonovrus #detection #VMprocess #RVision