Компания Positive Technologies дополнила представленный ранее облачный сервис PT BlackBox Scanner для поиска уязвимостей в веб-приложениях On-Premise-версией решения PT BlackBox. Продукт предполагает модель оплаты по подписке и устанавливается на серверах заказчика.

Особенностью комплекса PT BlackBox является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST) и динамического (Dynamic application security testing, DAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Продукт позволяет выявлять уязвимости на ранней стадии жизненного цикла ПО и поддерживает процессы безопасной разработки DevSecOps.

Сравнение PT BlackBox и PT BlackBox Scanner

Для удобства работы с PT BlackBox предусмотрено внедрение сканера в процессы непрерывной интеграции (Continuous integration, CI) и непрерывной доставки (Continuous delivery, CD): запуск сканирования возможен параллельно с приёмочным тестированием, а также после тестирования и развёртывания программных решений. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.

Веб-приложения по-прежнему остаются популярной целью для злоумышленников. По данным Positive Technologies, в среднем онлайновые сервисы одной организации могут содержать больше двух десятков уязвимостей, пятая часть из которых — опасные. Если атакующий сможет найти их, компания рискует столкнуться с серьёзными финансовыми и репутационными последствиями: кражей важных данных, проникновением в IT-инфраструктуру, простоями бизнес-процессов или полной остановкой информационных систем.

Компания Positive Technologies выпустила новую версию системы управления уязвимостями MaxPatrol VM 1.5.

MaxPatrol VM позволяет автоматизировать процессы управления уязвимостями в инфраструктуре организации и контролировать защищённость IT-активов в каждый момент времени. Решение построено на базе единой платформы MaxPatrol 10, которая объединяет продукты Positive Technologies для полной прозрачности сети и мониторинга безопасности. Продукты в составе MaxPatrol 10 обогащают друг друга данными об активах, что позволяет наиболее полно оценивать защищённость IT-инфраструктуры.

Интерактивный дашборд MaxPatrol VM

В обновлённом программном комплексе MaxPatrol VM 1.5 реализованы дополнительные возможности для контроля процессов патч-менеджмента и устранения обнаруженных уязвимостей. Добавлены новые шаблоны в конструктор отчётов: по уязвимостям, уязвимым узлам и компонентам. Кроме того, выпущен специальный пакет фильтров с преднастроенными запросами, которые позволяют организовать работу с уязвимостями в соответствии с рекомендациями Национального координационного центра по компьютерным инцидентам (НКЦКИ).

«Необходимо, чтобы для всех активов инфраструктуры была прописана политика патч-менеджмента. Если нет возможности обновить софт и задать конкретные сроки устранения уязвимостей, то принимается решение о выведении узла из эксплуатации или отказе от конкретного ПО. Если и эти меры недоступны и применяются компенсационные меры, то важно не упускать такие активы из виду и вернуться к их обновлению, когда это будет возможно и безопасно. В MaxPatrol VM можно задать политику для исключения уязвимости из планового процесса патч-менеджмента с определенным сроком или бессрочно. Можно собрать виджеты для мониторинга, которые позволят контролировать уязвимость такого типа», — говорится в сообщении разработчика.

Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности.

Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).

Источник изображения: Pixabay

За создание новых эксплойтов для свежей стабильной ветки ядра Linux компания дополнительно заплатит $21 000. Для тех, кто скомпрометирует специальное ядро с расширенными экспериментальными патчами от Google, дополнительное вознаграждение составит $21 000. Таким образом, суммарно можно получить до $133 337. Ранее Google призвала другие компании выделять больше инженеров для разработки и сопровождения ядра Linux, а в прошлом году компания совместно с Linux Foundation выделила средства на оплату работы двух специалистов по обеспечению безопасности ядра.