К основному контенту

Сообщения

Какие антивирусы используются в современных межсетевых экранах

Занятно было посмотреть на рынок межсетевых экранов в одной из плоскостей: как у кого выглядят антивирусные движки.  Антивирус это не просто некоторый набор сигнатур, но и прилагающаяся лаборатория - ведь нужно находить новый вредоносный код, создавать сигнатуры и распространять их по своим заказчикам. Ситуация интересная: у Check Point нет своего антивируса, они включают в поставку OEM движок Лаборатории Касперского (ЛК), с которым у них есть трудности из-за санкций и они пишут что встраивают какой-то еще движок, что от Cyren/CommTouch, но официально этого в документации нет. У Cisco (FTD) включается в поставку ClamAV - бесплатный антивирус. У Fortinet и Palo Alto Networks - свой движок антивируса и свои антивирусные лаборатории, которые поставляют сигнатуры. У российского вендора Entensys (UserGate) это движки от ЛК, Panda, Avira. У компании Altell (NEO) это Касперский и ClamAV. У других российских межсетевых экранов компаний Код Безопасности (Континент), Амикон (ФПСУ-IP), Инфотекс…
Недавние сообщения

1 место на конкурсе "Наша Игра" заняла команда Anti-APT-Group

Сегодня вышла официальная запись игры, поэтому радостно сообщаю, что
1 место на конкурсе "Наша Игра" заняла команда Anti-APT-Group в составе:
Батранков Денис – Palo Alto Networks (капитан) Журин Сергей – Элерон Кузнецов Александр – НТЦ Вулкан Костров Дмитрий – SAP Пудов Дмитрий – ANGARA
Видеозапись игры доступна https://tv.ib-bank.ru/video/384


Тема была очень непростой: регуляторы и спецслужбы всего мира, будучи с проигрышем больше -1000 баллов уже начали спешить, но затем взяли себя в руки, вышли в плюс и победили. Победителей не судят! Оказалось полезно не отвечать на вопрос, если знаешь ответ, но сомневаешься. Эта стратегия позволяла только набирать баллы в плюс, а не падать в минус. Ну и зрительная память, оказалось, очень помогла с последним неожиданным вопросом.

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 

Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника. Для многих является загадко…

Kill Chain в примерах

Заметил, что для многих начинающих безопасников понятие Kill Chain - сферический конь в вакууме. Понятно, что можно рассказать красивую историю, что это методика обхода защиты, когда на каждом этапе ты делаешь минимальное действие, необходимое для обхода защиты. И поэтому мы сделали такой слайд, где эти методики приведены в виде примеров. Так ведь понятнее? И становится понятнее от чего конкретно защищаться. В принципе каждый безопасник легко может дополнить каждый пункт на основе своего опыта.  Вижу частую ошибку, что e-mail атаки ждут только по протоколу SMTP - его и защищают, в когда сотрудник получает письмо с вложением на сайте mail.ru или gmail, или через своего почтового клиента по POP3 или IMAP, то почему-то оказывается там никто и не проверял вирусы и не включал отправку в свою дорогую песочницу. То же самое, когда система управления бот-сетями использует twitter для отправки сообщений и получения команд - тоже мало кто готов.

Как сотрудник SOC автоматизирует защиту компании

В принципе то, чем занимаются ИТ и ИБ - автоматизация идей. У аналитиков SOC очень много различных задач и одна из них - находить индикаторы угроз, которые были уже в компании или (и желательно) которые были в ДРУГИХ компаниях. И вот тут становится интересной задача автоматизации этого процесса. Кто-то где-то кому-то поделился PlayBook или TTP в формате STIX или TAXII или просто сам аналитик только что нашел характерный паттерн поведения атакующего. Что дальше? Ручками ввести это все в системы защиты компании - долго. Нужна автоматизация. Существует бесплатная утилита MineMeld, которая позволяет втянуть в себя различные форматы обмена TTP и затем выдать в нужном формате для имеющихся средств защиты. Например, для NGFW Palo Alto Networks это будет формат External Dynamic List, где уже готовые списки блокировки URL, IP, DNS поставляются прямиком в межсетевой экран, который их автоматически блокирует. Такая презентация выложена сейчас на Slideshare. Предлагаю ее посмотреть на SlideShare

Угрозы безопасности данных в облаках vs локальным

Незаметно люди уже перешли в облака, посмотрите: у всех в руках на совещании смартфоны. Спросите коллег, сколько из них отказалось от облаков iCloud или от Google Cloud в своих смартфонах?

Основные причины, почему компании, особенно в России, не хотят переходить в облака можно перечислить: - не гарантирована доступность - могут взять и "отключить" от облака; - не гарантирована защищенность инфраструктуры - админы облака могут подключаться к ней; - не гарантирована защищенность софта, которым пользуются облачные сервисы - там могут быть дыры, которые позволяют украсть наши данные.
И я согласен.
В то же самое время, я бываю во многих компаниях. И что я вижу: - да, в некоторых компаниях задублированы некоторые устройства, системы хранения, каналы, но обычно не все - тоже случаются перебои с доступностью; - да, в некоторых компаниях админы работают годами и только они отвечают и строят сеть,  то есть никто другой не может подключаться, но обычно люди приходят и уходят, часто ра…

Безопасность на дорогах и безопасность в компьютерных сетях

Аналогия
Если провести аналогию с правилами дорожного движения и правилами информационной безопасности, то можно увидеть куда надо стремиться. Правила дорожного движения разрабатываются давно, поэтому их все более менее знают. Если кто-то хочет выехать на дорогу, то он знает, что сначала нужно выучить правила, сдать их и потом уже можно.  Если ты просто подключаешься в интернет, то простейшая наглядная агитация на стенах учреждения, висит только в продвинутых компаниях, типа Сбербанка. В Интернет если кто-то хочет подключить свою организацию, то правила тоже есть: отраслевые (банк России), государственные  (ФЗ-152) и надгосударственные (GDPR, PCI DSS). Правила эти никого сдавать не требуют. Обучать людей не треюут. А почему? Ведь аналогия с правилами дорожно движения говорит, что это нужно делать.  Соответственно на курсы никто не ходит, а они (слава богу) есть. Я об этом и хочу поговорить.
Специалисты
Основная проблема любой организации, что в ней нет специалистов, которые бы где-то с…