К основному контенту

Сообщения

ФСТЭК заблокировал атаку

Очень интересный фильм, и внезапно в середине фильма! ФСТЭК! ) Авторы жгут!

Недавние сообщения

Интеграция Palo Alto Networks с другими решениями

На этой странице буду поддерживать ссылки описывающие интеграцию платформы Palo Alto Networks с другими решениями:

Кликать тут:
 ▪ Airwatch
 ▪ ForeScout
 ▪ Proofpoint
 ▪ Tanium
 ▪ Tripwire
 ▪ Trusteer
 ▪ Cisco ACI

Распишу Tanium прямо тут, поскольку с российских IP адресов они не разрешают к себе заходить. NGFW отправляет файлы в песочницу Wildfire, в результате анализа все IoC получаемые из отчета Winldfire отправляются в Tanium, который уже ищет эти IoC на рабочих станциях используя STIX. Замечу, что NGFW также получает все IoC в устройство из Wildfire после анализа. Картинка ниже:


10 из 10 обязательных функций межсетевого экрана нового поколения

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложенийПоддержка абсолютно одинаковых функций межсетевого …

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.
Смотрим:
В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано 4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блоки…

9 из 10 обязательных функций межсетевого экрана нового поколения

Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций…

Что делать в связи с новой эпидемией Petya?

После эпидемии криптолокера WannaCry прошло не так много времени. Сейчас пошла очередная эпидемия и новостные сайты уже кипят новостями. На самом деле это не новая атака. Вирус Petya + Misha обычно доставляется путем фишинговых email писем в отдел кадров, с приложенным резюме! Смотрите на этот вектор атаки!
Если вам важно защитить себя, то все-таки  1. нужно обзавестись хостовой защитой. Например TRAPS 2. нужно обзавестись песочницей для сетевого трафика. Например Wildfire. 3. нужно проверить, что бекапы в вашей компании работают и сделаны в последнее время 4. нужно проверить, что у вас ставятся обновления и стоят самые последние
Есть много индикаторов компрометации (IOC) тут https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Если у вас Palo Alto Networks, то вот рекомендации что делать https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Вот можно посмотреть какие производители видят уже этот вирус. Сейчас это 16 из …

Чем отличается NGFW от UTM

Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.
Что было сначала?  Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые…