?

Log in

Некоторые мысли о continuous vulnerability management - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Некоторые мысли о continuous vulnerability management [Apr. 29th, 2016|02:45 pm]
ArkanoiD
[Tags|, ]

Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь)

Ситуация интересная: моновендорские решения говно. Полностью опенсорсные решения совсем говно. Но при желании и наличии некоторого количества ресурсов можно сколхозить некоторый кастомный вариант, который всех порвет. Ну и как водится, у меня есть своя idee fixe, как за малые деньги сделать то, что вендоры и интеграторы не дадут за большие в аспекте достоверности результатов, анализа рисков и превращения всего этого в actionable items.

Но я старый пионэр, много знаю. Поэтому не могу не вспомнить, что еще лет десять (скорее пятнадцать-двадцать, но десять все еще да) не менее неистово и не более продуктивно упарывался по теме фаерволов. И то же самое вроде было: моновендорские решения говно, позиционирование невнятное, хочешь хорошо -- собирай из зоопарка и костылей.

Что я упустил тогда в более крупной картинке? Коммодитизацию и место фаервола в общей картине безопасности сети. Да, я оказался прав в том смысле, что фаервол никуда не делся и все пророки его смерти несли какую-то лажу. Что я не понял -- это то, что коммодитизация привела к тому, что в общем случае тебе настолько не до того, какой у тебя фаервол, что забивать голову деталями технической реализации уже нет никакого смысла -- особенно, если ты за регулярно упоминаемой мной "чертой бедности" инфобеза, т.е. не в fortune 1000 и не в банкинге/финтеке/других отраслях с аномально высоким бюджетом на безопасность. У тебя есть слишком много другой головной боли. Бери с полки любой продукт, если там нет очевидных факапов (привет, Palo Alto) и он будет работать. Нужна дополнительная функциональность -- опять же, она есть у любого крупного вендора. Что твои админы знают, то и сгодится. А у кого внутри asic быстрее или стейт-машина корректнее -- да б-же упаси вникать в такую ерунду.

Я делал тогда много прогнозов, большая часть сбылась, некоторые нет. Например, я пророчил большое будущее XML-фаерволам, потому что считал, что это важно. Я до сих пор считаю, что это крутая недооцененная технология, но дорогая, заморочная, требующая иных подходов при проектировании и самое главное -- я не вижу в типовой организации "покупателя", готового драйвить ее внедрение. Просто разработать детальную модель рисков, которая оправдает ее применение уже для большинства слишком дорого. Помогла бы она предотвратить хоть один из громких инцидентов последних лет? Сомневаюсь. Ну и чорт тогда с ней. Может, военным пригодится. У них уже есть хорошее кладбище на заднем дворе, начиная с десктопов с мандатным контролем доступа.

Да, так вот, возвращаясь к continuous vulnerability management -- не ждет ли и тут нас коммодитизация? Нужно ли мне пилить очередной простиг-ди openfwtk (кто помнит), если в ближайшее время вендорские решения станут достаточно хороши, финансово доступны и значительно более функциональны, чем очередной конструктор от команды энтузиастов?

P.S. комментируйте лучше здесь, на комментарии в фейсбуке я отвечу не раньше, чем завтра.
linkReply

Comments:
From: pustota1
2016-04-29 11:55 am (UTC)
Конечно ждут и стремительное движение к схожим решениям с полки уже происходит.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 11:57 am (UTC)
Вот движение к скорее вижу, но на полке пока пустовато.

В основном универсальные решения не очень умеют в веб-уязвимости, например. и анализ рисков говно, вообще говно, требует изначального уровня зрелости организации и не дает возможности быстрого бутстрапа проекта. По итогу это немассовые продукты, это продукты для все тех же богатых буратин.

А там достаточно кучки тупеньких эвристик, чтобы покрыть 80% потребностей. И я знаю, как их нарисовать.

Вопрос, стоит ли морочиться или дырка зарастет сама собой.

Edited at 2016-04-29 12:12 pm (UTC)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: altmind
2016-04-29 12:21 pm (UTC)
расскажи что за дела с Palo Alto Networks?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 12:24 pm (UTC)
Сильно обосрались со уязвимостями к evasion очень старого образца.

Что особенно доставило лулзов -- поймал их за руку чекпоинт, который раньше обосрался ровно таким же способом.

Edited at 2016-04-29 12:24 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2016-04-29 12:58 pm (UTC)
> Нужно ли мне пилить очередной простиг-ди openfwtk (кто помнит)

нет. еще один такой уродец нинужен
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 01:01 pm (UTC)
Я условно.
(Reply) (Parent) (Thread) (Expand)
From: bowhill
2016-04-29 02:04 pm (UTC)
Imho первая проблема -- понимание такого текста далеко не массовое. Второе, уже озвученное -- массовое непонимание менеджментом того, что такое информация, и как следствие, отсутствие "покупателей" внутри. Понимание, обычно, живёт ниже формализации. И только потом уже технологические инструменты обработки информации, потоков. А по конкретной ситуации, наличие инструментов -- это нужно и хорошо. Но это уже должен быть хотя бы нишевый продукт или понятный агрегат, или пока будут банальные опасения, потому что эксплуатировать некому.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 02:10 pm (UTC)
> понимание такого текста далеко не массовое

предположим, я хочу сделать презентацию для ширнармасс

Вроде, уже всем объяснили, что "ежеквартальное сканирование на уязвимости" это не то чтобы ересь, но это немношк неинформативно.

Вроде, все уже интуитивно понимают, что им нужны actionable items расставленные согласно их приоритетам, а не отчет на 500 страниц, из которых первые сто посвящены "критическим уязвимостям".

А дальше? Ммм?
(Reply) (Parent) (Thread) (Expand)
From: silly_sad
2016-04-29 02:12 pm (UTC)
ja ne ponimaju otkuda u tebja VYBOR v etoj situacii?
jestj OpenBSD's pf.
a aljeternativy gde?
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 02:23 pm (UTC)
Я работал в компании, где как раз стоял openbsd pf + кучка всякой юзерлэнд шняги. Много лет стоял.

Но в некоторый момент выяснилось, что при попытке его отскейлить на возросшие потребности в нем начинается подземный стук из самых разных мест. А хардкорного кернел хакера, которому было бы не лень этот стук диагностировать и прижимать к ногтю уже не было. Ну то есть такие люди были, но они все были настолько заняты, что проще было все это аккуратно смигрировать, частями на цыцку, частично на линупс. Конечно, было жалко и некошерно, но. В общем, еще годик с ним помучились и таки приморили.

Все от локальной экспертизы зависит, причем не только от ее наличия, но и от доступности для конкретной задачи.

Edited at 2016-04-29 02:23 pm (UTC)
(Reply) (Parent) (Thread) (Expand)
From: silly_sad
2016-04-29 02:36 pm (UTC)
nu ja tak ponimaju chto radi bezuderzhnogo smotrenija kotikov na youtube vy zamenili garantirovano sekurnyj pf na chto-to neponjatnoje stateless chto propuskajet trafik ne zadumyvajasj.

Edited at 2016-04-29 02:36 pm (UTC)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: tzirechnoy
2016-04-29 04:20 pm (UTC)
Как будто cisco или iptables не являются альтэрнативой pf.
(Reply) (Parent) (Thread)
[User Picture]From: tzirechnoy
2016-04-29 03:25 pm (UTC)
(пожав плечами) Так хорошый файрволл и сейчас нужэн. Ну да, стало можно без него — в первую очередь потому, что свежая винда без файрволла начала жыть более 10 минут.

Однако нужэн. И чтобы ssl как нибудь плюс-минус декодировал.

Собственно, с него можно начинать плясать в сторону vulnerability management (поскольку, очевидно, vulnerability management будет частью хорошэго файрволла).
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 03:48 pm (UTC)
Эмм, нет.

То есть всякие штуки типа tenable pvs это хорошо.

Но недостаточно.

Алсо, ничто не мешает собирать информацию и с них.

Это к firewall'у вообще боком. Центральная часть -- это база , движок аналитики и репортилка.
(Reply) (Parent) (Thread)
[User Picture]From: tzirechnoy
2016-04-29 04:19 pm (UTC)
Понятно, что файрполла недостаточно -- но такжэ понятно, что vulnerability management будет управлять этим файрволлом, и, фактически, внутри файрволла так или иначе нужэн VuM.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: 1master
2016-04-30 07:38 am (UTC)
IMHO, для массового рынка нужто что-то вроде alienvault usm, только работающее.
(Reply) (Parent) (Thread) (Expand)
From: silly_sad
2016-04-29 04:01 pm (UTC)

OFFTOPIC

It is always overlooked that any "vulnerability" is in fact an ACTIVE AGENT on the receiving side. For an evil hacker to "access" your computer it is REQUIRED a program that DELIBERATELY listens to the network and ACTIVELY RESPONDS to the hacker's requests. A hacker is ALWAYS merely an inquirer, he has no power to impose his will at all.

The mainstream InfoSec language fundamentally MISREPRESENT a hacking victim as a passive participant of the hacking process.

that's fucking shame.
and also this is the only source of money in InfoSec.

Edited at 2016-04-29 04:04 pm (UTC)
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-29 04:10 pm (UTC)

Re: OFFTOPIC

true. but inevitable.
(Reply) (Parent) (Thread)
From: silly_sad
2016-04-29 04:18 pm (UTC)

Re: OFFTOPIC

ochenj dazhe inevitable!
jesli ja mogu NE napisatj: slushaj soket.
to pochemu avtory govno vindy ne mogut?
(Reply) (Parent) (Thread) (Expand)
From: silly_sad
2016-04-29 04:19 pm (UTC)

Re: OFFTOPIC

i, da, s vot etim sabzhevym pizdezhom nado borocca, dazhe jesli eto tebe v ubytok. ibo sovestj.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2016-04-29 11:47 pm (UTC)
Можно попробовать научится картографировать своё профессиональное пространство. Начать можно здесь: http://blog.gardeviance.org/2015/03/wardley-map-set-of-useful-posts.html

Пример применения - Tal Klein и его компании Bromium и Adallom (плюс где он сейчас - не вспомню с налёту). Все построены на основе информации полученной из анализа таких карт.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-30 07:30 am (UTC)
Я знаю, что у тебя пунктик (вполне оправданный, я не спорю) на картографировании, но этот подход очень медленно взлетает в описанных мной условиях и его внедрение стоит таких денег, что продукты, его реализующие (типа RedSeal) стоят вообще как самолет.

А я сейчас про соевый жмых для бедных, которые очень далеко от тепличных условий верхних процентов, являющихся драйверами индустрии.
(Reply) (Parent) (Thread) (Expand)
From: (Anonymous)
2016-04-30 03:39 am (UTC)

Все украдено до нас

Если я правильно понял посыл, связка Whitehat + F5 ASM как раз оно. Отлавливает дырки, простые и очевидные автоматически закрывает, про остальные пишет разработчикам.
(Reply) (Thread)
[User Picture]From: arkanoid
2016-04-30 07:32 am (UTC)

Re: Все украдено до нас

еще один ничего не понял (и Wallarm делает это лучше).

Это не про WAF, не "не совсем про WAF", а "совсем не про WAF".
(Reply) (Parent) (Thread)
From: (Anonymous)
2016-05-01 02:05 am (UTC)

Не понял так не понял.

Правда это означает, что объяснить клиентам не получится совсем :-)
(Reply) (Parent) (Thread) (Expand)
Хмм... - (Anonymous) Expand
Хмм... - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand