#сканеры_уязвимостей — Public Fediverse posts

Пентест VS PT Dephaze. Обзор инструмента автоматизации «хакерских атак»

Привет, Хабр! В этой статье поделюсь опытом пилотирования продукта PT Dephaze и мыслями, заменит ли он Пентестеров, ведь мне, как Team Lead пентест-команды Тензора, был важен вопрос перспективы на будущее ;) Ранее продуктов, автоматизирующих пентест, нам не встречалось. Поэтому, можно сказать, что Positive Technologies одни из первых решили автоматизировать то, что раньше считалось прерогативой ручного труда высококвалифицированных специалистов, но как у них это получилось, мы и рассмотрим.

https://habr.com/ru/companies/tensor/articles/984888/

#пентест #пентесты #пентестеры #dephaze #positive technologies #сканеры_уязвимостей #уязвимости #уязвимости_и_их_эксплуатация

Пентест VS PT Dephaze. Обзор инструмента автоматизации «хакерских атак»

Привет, Хабр! В этой статье поделюсь опытом пилотирования продукта PT Dephaze и мыслями, заменит ли он Пентестеров, ведь мне, как Team Lead пентест-команды Тензора, был важен вопрос перспективы на будущее ;) Ранее продуктов, автоматизирующих пентест, нам не встречалось. Поэтому, можно сказать, что Positive Technologies одни из первых решили автоматизировать то, что раньше считалось прерогативой ручного труда высококвалифицированных специалистов, но как у них это получилось, мы и рассмотрим.

https://habr.com/ru/companies/tensor/articles/984888/

#пентест #пентесты #пентестеры #dephaze #positive technologies #сканеры_уязвимостей #уязвимости #уязвимости_и_их_эксплуатация

Пентест VS PT Dephaze. Обзор инструмента автоматизации «хакерских атак»

Привет, Хабр! В этой статье поделюсь опытом пилотирования продукта PT Dephaze и мыслями, заменит ли он Пентестеров, ведь мне, как Team Lead пентест-команды Тензора, был важен вопрос перспективы на будущее ;) Ранее продуктов, автоматизирующих пентест, нам не встречалось. Поэтому, можно сказать, что Positive Technologies одни из первых решили автоматизировать то, что раньше считалось прерогативой ручного труда высококвалифицированных специалистов, но как у них это получилось, мы и рассмотрим.

https://habr.com/ru/companies/tensor/articles/984888/

#пентест #пентесты #пентестеры #dephaze #positive technologies #сканеры_уязвимостей #уязвимости #уязвимости_и_их_эксплуатация

Пентест VS PT Dephaze. Обзор инструмента автоматизации «хакерских атак»

Привет, Хабр! В этой статье поделюсь опытом пилотирования продукта PT Dephaze и мыслями, заменит ли он Пентестеров, ведь мне, как Team Lead пентест-команды Тензора, был важен вопрос перспективы на будущее ;) Ранее продуктов, автоматизирующих пентест, нам не встречалось. Поэтому, можно сказать, что Positive Technologies одни из первых решили автоматизировать то, что раньше считалось прерогативой ручного труда высококвалифицированных специалистов, но как у них это получилось, мы и рассмотрим.

https://habr.com/ru/companies/tensor/articles/984888/

#пентест #пентесты #пентестеры #dephaze #positive technologies #сканеры_уязвимостей #уязвимости #уязвимости_и_их_эксплуатация

От контейнеров до кода: инструменты для поиска уязвимостей на все случаи

Всем привет Меня зовут Сергей. Работаю в небольшой компании. Помимо прочих обязанностей, также анализирую код и docker-образы, написанные нашими разработчиками, на предмет различных уязвимостей. В этой статье хотел бы поделиться нашими подходами и open-source инструментами, которыми я использую в своей работе. Быть может кто-то найдет что-то полезное или новое для себя. Найти что-то полезное или новое для себя

https://habr.com/ru/articles/910840/

#информационная_безопасность #уязвимости #безопасность_кода #SAST #DevOps #open_source #статический_анализ #сканеры_уязвимостей

От контейнеров до кода: инструменты для поиска уязвимостей на все случаи

Всем привет Меня зовут Сергей. Работаю в небольшой компании. Помимо прочих обязанностей, также анализирую код и docker-образы, написанные нашими разработчиками, на предмет различных уязвимостей. В этой статье хотел бы поделиться нашими подходами и open-source инструментами, которыми я использую в своей работе. Быть может кто-то найдет что-то полезное или новое для себя. Найти что-то полезное или новое для себя

https://habr.com/ru/articles/910840/

#информационная_безопасность #уязвимости #безопасность_кода #SAST #DevOps #open_source #статический_анализ #сканеры_уязвимостей

От контейнеров до кода: инструменты для поиска уязвимостей на все случаи

Всем привет Меня зовут Сергей. Работаю в небольшой компании. Помимо прочих обязанностей, также анализирую код и docker-образы, написанные нашими разработчиками, на предмет различных уязвимостей. В этой статье хотел бы поделиться нашими подходами и open-source инструментами, которыми я использую в своей работе. Быть может кто-то найдет что-то полезное или новое для себя. Найти что-то полезное или новое для себя

https://habr.com/ru/articles/910840/

#информационная_безопасность #уязвимости #безопасность_кода #SAST #DevOps #open_source #статический_анализ #сканеры_уязвимостей

От контейнеров до кода: инструменты для поиска уязвимостей на все случаи

Всем привет Меня зовут Сергей. Работаю в небольшой компании. Помимо прочих обязанностей, также анализирую код и docker-образы, написанные нашими разработчиками, на предмет различных уязвимостей. В этой статье хотел бы поделиться нашими подходами и open-source инструментами, которыми я использую в своей работе. Быть может кто-то найдет что-то полезное или новое для себя. Найти что-то полезное или новое для себя

https://habr.com/ru/articles/910840/

#информационная_безопасность #уязвимости #безопасность_кода #SAST #DevOps #open_source #статический_анализ #сканеры_уязвимостей

Как мы реализовали SCA при помощи SBOM

Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

https://habr.com/ru/companies/cian/articles/900040/

#trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca #сканеры_безопасности #cdxgen #безопасная_разработка #сканеры_уязвимостей

Создаем менеджмент уязвимостей в компании (VM)

Привет, Хабр! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. Почему VM важен? Первый грейд (уровень) хакера начинается со Script Kiddy, то есть освоения навыка эксплуатации публичных уязвимостей с помощью эксплойтов, опубликованных как в открытом доступе (Metasploit, Github etc), так и в написанных самостоятельно. Если вы спросите опытного пентестера (понятие «хакер» больше относится к незаконной деятельности), какие первые шаги он совершает в исследовании инфраструктуры на проникновение, то большая часть скажет, что проверяет объект на наличие публичных уязвимостей и возможность их проэксплуатировать. Это касается и внешней (опубликованной в интернете, например SMTP-сервера), и внутренней инфраструктуры (Active Directory). В среде пентестеров есть понятие «низко висящие фрукты» — это когда задачу по «пролому» цели можно выполнить очень быстро благодаря исследованным ранее уязвимостям и готовым эксплойтам. Как говорится, увидел PrintNightmare (CVE-2021-1675 и CVE-2021-34527) в инфраструктуре и захватил ее всю. И тут вывод напрашивается сам. Безопасность инфраструктуры должна начинаться с менеджмента уязвимостей, а уж всякая проактивная защита (антивирусы, IDSы, файрволлы и прочее) идти в дополнение.

https://habr.com/ru/companies/tensor/articles/874918/

#менеджмент_уязвимостей #vulnerability_management #публичные_уязвимости #информационная_безопасность #сканеры_уязвимостей #Redcheck #max_patrol_vm

Создаем менеджмент уязвимостей в компании (VM)

Привет, Хабр! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. Почему VM важен? Первый грейд (уровень) хакера начинается со Script Kiddy, то есть освоения навыка эксплуатации публичных уязвимостей с помощью эксплойтов, опубликованных как в открытом доступе (Metasploit, Github etc), так и в написанных самостоятельно. Если вы спросите опытного пентестера (понятие «хакер» больше относится к незаконной деятельности), какие первые шаги он совершает в исследовании инфраструктуры на проникновение, то большая часть скажет, что проверяет объект на наличие публичных уязвимостей и возможность их проэксплуатировать. Это касается и внешней (опубликованной в интернете, например SMTP-сервера), и внутренней инфраструктуры (Active Directory). В среде пентестеров есть понятие «низко висящие фрукты» — это когда задачу по «пролому» цели можно выполнить очень быстро благодаря исследованным ранее уязвимостям и готовым эксплойтам. Как говорится, увидел PrintNightmare (CVE-2021-1675 и CVE-2021-34527) в инфраструктуре и захватил ее всю. И тут вывод напрашивается сам. Безопасность инфраструктуры должна начинаться с менеджмента уязвимостей, а уж всякая проактивная защита (антивирусы, IDSы, файрволлы и прочее) идти в дополнение.

https://habr.com/ru/companies/tensor/articles/874918/

#менеджмент_уязвимостей #vulnerability_management #публичные_уязвимости #информационная_безопасность #сканеры_уязвимостей #Redcheck #max_patrol_vm

Создаем менеджмент уязвимостей в компании (VM)

Привет, Хабр! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. Почему VM важен? Первый грейд (уровень) хакера начинается со Script Kiddy, то есть освоения навыка эксплуатации публичных уязвимостей с помощью эксплойтов, опубликованных как в открытом доступе (Metasploit, Github etc), так и в написанных самостоятельно. Если вы спросите опытного пентестера (понятие «хакер» больше относится к незаконной деятельности), какие первые шаги он совершает в исследовании инфраструктуры на проникновение, то большая часть скажет, что проверяет объект на наличие публичных уязвимостей и возможность их проэксплуатировать. Это касается и внешней (опубликованной в интернете, например SMTP-сервера), и внутренней инфраструктуры (Active Directory). В среде пентестеров есть понятие «низко висящие фрукты» — это когда задачу по «пролому» цели можно выполнить очень быстро благодаря исследованным ранее уязвимостям и готовым эксплойтам. Как говорится, увидел PrintNightmare (CVE-2021-1675 и CVE-2021-34527) в инфраструктуре и захватил ее всю. И тут вывод напрашивается сам. Безопасность инфраструктуры должна начинаться с менеджмента уязвимостей, а уж всякая проактивная защита (антивирусы, IDSы, файрволлы и прочее) идти в дополнение.

https://habr.com/ru/companies/tensor/articles/874918/

#менеджмент_уязвимостей #vulnerability_management #публичные_уязвимости #информационная_безопасность #сканеры_уязвимостей #Redcheck #max_patrol_vm

Создаем менеджмент уязвимостей в компании (VM)

Привет, Хабр! В этой статье поделюсь опытом и знаниями построения менеджмента уязвимостей в компании, ведь этот процесс, на мой взгляд, — базис информационной безопасности. Почему VM важен? Первый грейд (уровень) хакера начинается со Script Kiddy, то есть освоения навыка эксплуатации публичных уязвимостей с помощью эксплойтов, опубликованных как в открытом доступе (Metasploit, Github etc), так и в написанных самостоятельно. Если вы спросите опытного пентестера (понятие «хакер» больше относится к незаконной деятельности), какие первые шаги он совершает в исследовании инфраструктуры на проникновение, то большая часть скажет, что проверяет объект на наличие публичных уязвимостей и возможность их проэксплуатировать. Это касается и внешней (опубликованной в интернете, например SMTP-сервера), и внутренней инфраструктуры (Active Directory). В среде пентестеров есть понятие «низко висящие фрукты» — это когда задачу по «пролому» цели можно выполнить очень быстро благодаря исследованным ранее уязвимостям и готовым эксплойтам. Как говорится, увидел PrintNightmare (CVE-2021-1675 и CVE-2021-34527) в инфраструктуре и захватил ее всю. И тут вывод напрашивается сам. Безопасность инфраструктуры должна начинаться с менеджмента уязвимостей, а уж всякая проактивная защита (антивирусы, IDSы, файрволлы и прочее) идти в дополнение.

https://habr.com/ru/companies/tensor/articles/874918/

#менеджмент_уязвимостей #vulnerability_management #публичные_уязвимости #информационная_безопасность #сканеры_уязвимостей #Redcheck #max_patrol_vm

Trivy: вредные советы по скрытию уязвимостей

Привет, Хабр! Это что, еще одна статья о Trivy? Кажется, будто ничего нового уже об этом инструменте написать нельзя, а сам сканер внедрен в компаниях даже с низким уровнем зрелости ИБ. Но мы заметили, что большая часть статей в интернете представляет собой развернутое руководство по администрированию. А вот описания внутренней логики его работы нам найти так и не удалось. Определенные выводы можно сделать после внимательного изучения раздела “Coverage” из официальной документации сканера . Это наводит на мысль: “Очевидно, что Trivy сканирует конфигурационные файлы установщиков и пакетных менеджеров”. Но, как часто подобное бывает в математике, очевидное совсем не очевидно и требует доказательств. Именно поэтому, как выразился один из наших коллег, мы «зареверсим опенсурс» и попытаемся разобраться, как в точности работает сканер Trivy. Материал подготовила Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security.

https://habr.com/ru/companies/swordfish_security/articles/822705/

#информационная_безопасность #trivy #сканеры_безопасности #сканеры_уязвимостей #сканирование_образов #безопасность_вебприложений #безопасная_разработка #безопасность