К основному контенту

Сообщения

Пятницы с Palo Alto Networks. Анонс серии вебинаров.

Пятницы с Palo Alto Networks 
В Москве завершился Summit Palo Alto Networks 2017
После завершения конференции по многочисленным просьбам повторим наши презентации в виде вебинаров. Они будут проходит каждую пятницу в 10 утра начиная с 17 ноября. 
Дата Время Тема Ссылка для регистрации 17 ноября 10:00 МСК 10 cамых частых ошибок в безопасности сетей https://goo.gl/t64EMV 24 ноября 10:00 МСК Что делать, если антивирус не работает. Traps Endpoint Protection https://goo.gl/yEvkvt 1 декабря 10:00 МСК Какие вопросы нужно задавать вендору при выборе NGFW и песочницы https://goo.gl/Vjdgkw 8 декабря 10:00 МСК
Недавние сообщения

Разница между межсетевым экраном L4 и L7

Многим понравился мой слайд на саммите Palo Alto Networks 2 ноября про разницу межсетевых экранов L4 и L7.
Насколько информативны журналы, которые выдает L4-firewall? Вообще непонятно ничего. И это непонятное загоняют в коллекторы SIEM, для корреляции, чтобы хоть как-то разобраться. Проще всего посмотреть в журнал NGFW и эту аналитику уже удобно анализировать и сотруднику службы ИБ и аналитику в SIEM или SOC. А корреляция с индикаторами Threat Intelligence из базы Autofocus, которая также встроена в NGFW, еще больше насыщает журналы информацией для блокировки атаак и разбора инцидентов.

Напоминаю! Почта, это не только SMTP!

Существует народное поверье, формируемое некоторыми производителями, что защищать нужно только почту, которая идет по SMTP. Хакеры благодарны им конечно и заражают корпорации через электронные письма, которые сотрудники принимают по HTTPS, POP3 и IMAP. Такая типовая ошибка настолько распространена, что я вынужден написать об этом после очередного случая заражения. Напоминаю! Почта, это не только SMTP!
По информации аналитиков UNIT42, действительно, облачные песочницы Palo Alto Networks видят самым популярным приложением по доставке zero day именно SMTP, но это же не означает, что нужно игнорировать остальные приложения.



Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 
В рассылке приходят: 1. хеши вредоносных файлов 2. email адреса - источники угрозы 3. IP адреса источников угрозы
Что нужно сделать после получения данной рассылки.
1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется. Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по вс…

Как настраивается защита от фишинга встроенная в Palo Alto Networks NGFW

Защита от фишинга встроенная в Palo Alto Networks NGFW сканирует отдаваемые сотрудниками логины и пароли на внешние сайты и сравнивает их с логинами организации. Если выявлены поддельные сайты где пытаются украсть логины и пароли сотрудников, то это блокируется. Как это настроить тут: https://www.paloaltonetworks.com/documentation/80/pan-os/newfeaturesguide/content-inspection-features/credential-phishing-prevention
Настраивается в колонке User Credential Submission в настройках профиля URL фильтрации.

Информация о найденных кражах логинов отображается в журнале:

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.

ФСТЭК заблокировал атаку

Очень интересный фильм, и внезапно в середине фильма! ФСТЭК! ) Авторы жгут!