К основному контенту

Сообщения

Что такое и что делать с Meltdown и Spectre

Уязвимости Meltdown и Spectre - 

Это серьезно_Не_ дают возможности выполнить удаленно кодДают возможность удаленно прочитать данные ядра или других процессов, например, логины, пароли, кредитные картыУязвимы операционные системы Linux, Windows, Android, MacOs, iOS и другие операционных системы, включая ОС смартфоновАтака возможна прямо из JavaScript с любого сайта на который вы зашлиЯвляются большой угрозой для систем виртуализации и облаков, где на одном сервере работают несколько заказчиковЧто будет сделано и надо сделать Производители массово выпускают патчи - ищите для своей операционной системыПроизводители всех устройств, включая IoT, ICS/SCADA уже осознали что уязвимость есть и исправить ее нельзя совсемПользователи мобильных устройств, скорее всего смогут устранить уязвимость, поменяв телефон на новый, когда выйдут новые телефоны с неуязвимыми процессорамиОбновления нужно ставить как можно быстрее, хакеры скорее всего уже пользуются уязвимостью.Пользователи хостинга и облачных с…
Недавние сообщения

Пятницы с Palo Alto Networks. Анонс серии вебинаров.

Пятницы с Palo Alto Networks 
В Москве завершился Summit Palo Alto Networks 2017
После завершения конференции по многочисленным просьбам повторим наши презентации в виде вебинаров. Они будут проходит каждую пятницу в 10 утра начиная с 17 ноября. 
Дата Время Тема Ссылка для регистрации 17 ноября 10:00 МСК 10 cамых частых ошибок в безопасности сетей https://goo.gl/t64EMV 24 ноября 10:00 МСК Что делать, если антивирус не работает. Traps Endpoint Protection https://goo.gl/yEvkvt 1 декабря 10:00 МСК Какие вопросы нужно задавать вендору при выборе NGFW и песочницы https://goo.gl/Vjdgkw 8 декабря 10:00 МСК

Разница между межсетевым экраном L4 и L7

Многим понравился мой слайд на саммите Palo Alto Networks 2 ноября про разницу межсетевых экранов L4 и L7.
Насколько информативны журналы, которые выдает L4-firewall? Вообще непонятно ничего. И это непонятное загоняют в коллекторы SIEM, для корреляции, чтобы хоть как-то разобраться. Проще всего посмотреть в журнал NGFW и эту аналитику уже удобно анализировать и сотруднику службы ИБ и аналитику в SIEM или SOC. А корреляция с индикаторами Threat Intelligence из базы Autofocus, которая также встроена в NGFW, еще больше насыщает журналы информацией для блокировки атаак и разбора инцидентов.

Напоминаю! Почта, это не только SMTP!

Существует народное поверье, формируемое некоторыми производителями, что защищать нужно только почту, которая идет по SMTP. Хакеры благодарны им конечно и заражают корпорации через электронные письма, которые сотрудники принимают по HTTPS, POP3 и IMAP. Такая типовая ошибка настолько распространена, что я вынужден написать об этом после очередного случая заражения. Напоминаю! Почта, это не только SMTP!
По информации аналитиков UNIT42, действительно, облачные песочницы Palo Alto Networks видят самым популярным приложением по доставке zero day именно SMTP, но это же не означает, что нужно игнорировать остальные приложения.



Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 
В рассылке приходят: 1. хеши вредоносных файлов 2. email адреса - источники угрозы 3. IP адреса источников угрозы
Что нужно сделать после получения данной рассылки.
1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется. Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по вс…

Как настраивается защита от фишинга встроенная в Palo Alto Networks NGFW

Защита от фишинга встроенная в Palo Alto Networks NGFW сканирует отдаваемые сотрудниками логины и пароли на внешние сайты и сравнивает их с логинами организации. Если выявлены поддельные сайты где пытаются украсть логины и пароли сотрудников, то это блокируется. Как это настроить тут: https://www.paloaltonetworks.com/documentation/80/pan-os/newfeaturesguide/content-inspection-features/credential-phishing-prevention
Настраивается в колонке User Credential Submission в настройках профиля URL фильтрации.

Информация о найденных кражах логинов отображается в журнале:

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.