Vulnerability intelligence with vulners.com Безопасность
Кирилл (@isox_xx, “isox”) – CISO группы компаний QIWI.
Начал как заурядный исследователь безопасности *nix, виртуализации и iOS в Positive Technologies, но как-то так вышло, что переквалифицировался на web application security и создание корпоративных систем безопасности.
Постоянный житель #bugbounty программ в роли охотника.
Ломал автомобильные мозги вместе с Дмитрием Скляровым до того, как это стало мейнстримом.
Руководитель направления Application Security группы компаний Qiwi, в прошлом разработчик систем информационной безопасности. Принимал участие в различных CTF и как участник, и как разработчик в составе команды Technopandas. Занимается безопасностью баз данных и автоматизацией всего и вся.
Тезисы
С чем у вас ассоциируется получение информации об уязвимостях?
Почтовые списки, рассылки вендоров, репорты сканеров информационной безопасности и огромное многообразие источников данных, включая даже индивидуально настроенные обновления на поисковые запросы в Google. Вы используете разные платформы, множество аппаратных решений и целый букет библиотек в зависимостях вашего кода. Как отличить тот момент, когда пора все бросать и бежать ставить патчи, от minor-проблемы, не требующей мгновенных действий?
Разрозненность данных, отсутствие унификации и миллион источников отлично характеризуют ситуацию. Казалось бы, CVE и CPE решили эту проблему. Да, каждая уязвимость имеет свой уникальный идентификатор, CVSS-вектор и привязку к уязвимому продукту. Можно отслеживать появление новых и вчитываться в суть проблемы. Но вы точно хотите выделить под это отдельного человека?
В своем докладе мы раскроем, почему SCAP не решил проблему, как собрать все воедино в одном формате и создать одну из крупнейших бесплатных баз данных уязвимостей. Python, Elasticsearch, MongoDB и все-все-все. Также мы коснемся интимной темы vulnerability intelligence, расскажем, как просканировать Linux на наличие уязвимостей "бесплатно без SMS" за 160 миллисекунд и сделать систему оповещения о новых уязвимостях такой, какая нужна именно вам.
