К основному контенту

Сообщения

Сообщения за 2016

Хватит уже делать проекты на базе прокси серверов

Получил очередной запрос от заказчика сделать ему защиту внутри HTTP(S) с анализом контента с антивирусом, URL фильтром и DLP. Кто вообще учит людей защищать только одно приложение? Кто эти люди? Это продавцы прокси серверов. Когда они уже перестанут пудрить мозги людям.
В современной компании любой индустрии банк или телеком или ретейл трафик создают порядка 200-300 приложений. Рекордсменом была компания у которой я видел трафик 719 разных приложений! Вот, например, разрез современного канала передачи данных http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
Это наверно круто, если вы защищаете целое одно приложение HTTP и его разновидность внутри SSL/TLS под названием HTTPS, но как быть с остальными 199-299 приложениями? Хрен с ними? Компании, которые стартуют проекты по защите только одного приложения должны понимать, что еще бы неплохо брать под контроль FTP, POP3, IMAP, SMB/CIFS, не говоря уже про динамические Skype, TeamVewer, Bittorent. А еще б…

Немного о SOC

SECURITY OPERATION CENTER После одного из самых разрекламированных мероприятий этого года выложили презентации http://soc-forum.ib-bank.ru/materials_2016
По структуре мероприятия я ожидал, что будет два типа слушателей:
Кто не определился строить им SOC или нет, поскольку не знает что это такое и зачем это надо.Кто уже понял зачем нужен SOC и им нужны примеры создания и эксплуатации SOC. Заодно узнать разницу в стоимости создания собственного SOC или стоимости эксплуатации виртуального SOC. Те презентации, которые отвечали на эти два вопроса, я сейчас и порекомендую.
Что такое SOC. Создавать или нет?SOC автоматизирует процессы, которые уже есть в компании. Соответственно, если никаких процессов нет, то и автоматизировать нечего, и SOC не нужен.Если процессы есть, то должен быть сотрудник в компании, который бы хотел, чтобы эти процессы ускорились или улучшились. Он обычно и инициирует создание SOC. Типовая ошибка: купить SIEM и ждать "вдруг" появления процессов. А они почему-…

У Tiguan в возрасте 70000 пробега сгорает блок предохранителей

Интересно, оказывается у VW Tiguan в возрасте 70000 пробега сгорает блок предохранителей, а точнее плавится ножка у одного предохранителя и заодно сам блок плавится. Нашел в форуме описание у другого человека точно такой же проблемы.

Выяснилось, что VW в курсе и сделал мне в 16.12.2013 на пробеге 29946 км замену этого предохранителя по акции, но сегодня 13 ноября 2016 года на пробеге 69809 км выяснилось, что он все равно оплавился и оплавил мне блок.

Вот сегодня попал на замену этого блока. Сегодня 13 ноября 2016 года эта неисправность мне обошлась в 19015 рублей в официальном сервисе. Сам блок в салоне продали за 13663 рубля. Проверил по коду 1K0937125D в Exist.ru - там он 10497 рублей. Но когда у тебя все освещение не работает - ждать или ехать в exist.ru нет времени.

Рис1. Вот так выглядит сам предохранитель - снять предохранитель сложновато рукой. 
 Лампа не горит, но виноват предохранитель.
 Лампа не горит, но виноват предохранитель.
Выглядит результат этой неисправности очень инт…

В чем тонкости тестирования песочниц

Поскольку занимаюсь периодически тестированием песочниц, то вижу что заказчик тестирования часто не понимает как тестировать и что тестировать. Для этого опубликую несколько основополагающих вещей, которые различают песочницы. 1. Есть ли в самом продукте сенсор для сбора файлов или нет. Сама по себе песочница, это набор виртуальных машин. Да, все вендоры бьются тут в области как и сколько файлов определилось верно, сколько было ложных срабатываний и сколько ложных пропусков. Однако важным является то, как собственно файлы вообще попадают на тестирование в песочницу? Ведь кто-то должен выковырять трафик из ваших приложений и отдать их в песочницу! Кто это делает в вашей именно сети? И вот тут то и оказываются самые провальные результаты. Где у вас идут файлы? Да где угодно! Люди скачивают файлы браузером по HTTP, HTTPS, FTP. Люди получают файлы по почте, а это SMTP, POP3 и IMAP и их SSL версии. Ну или просто SMB или Sharepoint. И оказывается что некоторые вендоры просто игнорирует цели…

Подход Palo Alto Networks к защите компании

Выступал в марте на конференции Extreme Networks и обнаружил запись своего выступления на Youtube. Кто хочет ознакомиться кратко как Palo Alto Networks защищает все приложения в сети, хосты при помощи TRAPS и про песочницы Wildfire - все есть

ФСТЭК запретил поставлять межсетевые экраны с 1 декабря 2016 года без нового сертификата

Сегодня на конференции Infosecurity Russia было выступление Алексея Кубарева из ФСТЭК России. Он рассказал о новых классах межсетевых экранов АБВГД и 6 классах в каждом, которые ФСТЭК ввел в феврале 2016 года. 
Что интересно, ФСТЭК официально опубликовал эти профили защиты лишь 12.09.2016 (прошлая неделя). И сегодня (20.09.2016) ФСТЭК снова поставил всех перед фактом, что с 1 декабря продажи межсетевых экранов будут осуществляться только у тех производителей, которые этим профилям соответствуют. Такое информационное письмо от них уже было 26.04.2016, но я не верил раньше в силу "информационных писем" (простите за наивность). Я задал вопрос из зала: правда ли ФСТЭК считает, что за оставшиеся 2 месяца появятся сертифицированные по новым требованиям межсетевые экраны. На что мне ответили, что уже есть компании, которые подали на сертификацию и они успеют к 1 декабря ее сделать.  Я провел опрос среди вендоров, которых встретил тут же на выставке: Huawei, Fortinet, Сheckpoint, P…

Выбор пульсомера для здоровья

Появилась проблема - я стал незаметно для себя перебарщивать с нагрузкой в фитнесе и решил принять меры: ведь сердцу это здоровья не прибавляет. Прочитав правильную статью, о том, как на самом деле нужно контролировать частоту сердечных сокращений (ЧСС) прямо во время занятий, я принялся за дело: анализировать имеющиеся на рынке устройства. Мне нужно было как-то давать себе сигнализировать, что я в зеленой, желтой или красной зоне - желательно 5 зон сигнализации. И у фитнес-трекеров есть такие светодиоды даже. Пульс максимальный высчитывается по формуле 220-возраст.

Грудной датчик и фитнес-часы наручные я сразу откинул - точно не буду одевать. Поэтому мой анализ коснулся лишь браслетов. И тут казалось бы - бери любой, где есть датчик ЧСС и пользуйся, однако оказалось, что датчики ЧСС бывают разные и поэтому дают разные показания. Я хотел сначала именно тонкий браслет, но в итоге я пришел к выводу: никакой тонкий браслет не измеряет точно пульс при нагрузке. Он подходит для подсчета ч…

Gartner Market Share Firewalls

Gartner опубликовал доли рынка межсетевых экранов по состоянию на август 2016 года. Palo Alto Networks вышла на 2 место, в прошлом году было 3 и рост продолжается. Check Point догнать трудно, поскольку он уже 20 лет на рынке, а Palo Alto Networks только в 2007 году выпустила свое первое устройство. Сisco все реже видна как производитель безопасности в проектах, то покупая кого-то, то закрывая потом эти продукты типа NetRanger, Mars, CSA, PIX и так далее и так далее и так далее.

Защита от APT это не только песочницы.

Выбирать песочницу стало проще: новое исследование Forrester среди 11 средств защиты от APT выявило лидеров в этой области. Приятно, что песочница Wildfire и архитектура защиты от компании Palo Alto Networks получили наивысшие оценки!

Продление лицензии на VM версию Palo Alto Networks

Часто партнеры спрашивают как продлить тестовую лицензию для виртуальной версии NGFW под VMware VM-300, которую я выдаю. Нужно помнить 4 пункта:

1. Лицензия прикрепляется к UUID - он у каждой виртуальной машины уникальный.
2. При клонировании виртуальной машины UUID создается новый. А при операции "move" - остается старый.
3. Продление лицензии и новая лицензия - это одно и то же для вас.
4. Чтобы продлить лицензию нужно

выключить виртуальный NGFWклонировать образ NGFWзапустить клона NGFW пройти заново процедуру регистрации AuthCode и UUID на портале support.paloaltonetworks.com

Все это описано в документации
Для меня конференция PHD является уже культовым местом, где можно встретиться со всеми существующими в Москве безопасниками. И в этом году на PHD я встретил всех!

Очевидно, что все безопасники уже давно ответили на вопрос "стоит ли приходить" и голосуют ногами - пришли все. Чувствовалось даже, что нужно в следующем году помещения побольше. Только два больших зала выдерживали наплыв слушателей. В залы А и Б я попасть не смог ни разу из 4 попыток. Спасением было то, что шла онлайн трансляция и можно было посмотреть с ноутбука видеозапись ведущуюся из комнаты.
Что возбуждало лично меня в этот раз, так это конкурс "Противостояние", когда безопасникам дали ресурсы для защиты, а хакерам предложили эти ресурсы взломать. Для взлома были подготовлены среды имитирующие два банка, телеком компанию и SCADA сеть. В итоге был взломан один банк, который взломали через backend. Вторая команда (ребята из QiWi) защитили свой backend гораздо лучше и их взломать не удалось никак. Ну …