К основному контенту

Сообщения

Сообщения за 2017

Пятницы с Palo Alto Networks. Анонс серии вебинаров.

Пятницы с Palo Alto Networks 
В Москве завершился Summit Palo Alto Networks 2017
После завершения конференции по многочисленным просьбам повторим наши презентации в виде вебинаров. Они будут проходит каждую пятницу в 10 утра начиная с 17 ноября. 
Дата Время Тема Ссылка для регистрации 17 ноября 10:00 МСК 10 cамых частых ошибок в безопасности сетей https://goo.gl/t64EMV 24 ноября 10:00 МСК Что делать, если антивирус не работает. Traps Endpoint Protection https://goo.gl/yEvkvt 1 декабря 10:00 МСК Какие вопросы нужно задавать вендору при выборе NGFW и песочницы https://goo.gl/Vjdgkw 8 декабря 10:00 МСК

Разница между межсетевым экраном L4 и L7

Многим понравился мой слайд на саммите Palo Alto Networks 2 ноября про разницу межсетевых экранов L4 и L7.
Насколько информативны журналы, которые выдает L4-firewall? Вообще непонятно ничего. И это непонятное загоняют в коллекторы SIEM, для корреляции, чтобы хоть как-то разобраться. Проще всего посмотреть в журнал NGFW и эту аналитику уже удобно анализировать и сотруднику службы ИБ и аналитику в SIEM или SOC. А корреляция с индикаторами Threat Intelligence из базы Autofocus, которая также встроена в NGFW, еще больше насыщает журналы информацией для блокировки атаак и разбора инцидентов.

Напоминаю! Почта, это не только SMTP!

Существует народное поверье, формируемое некоторыми производителями, что защищать нужно только почту, которая идет по SMTP. Хакеры благодарны им конечно и заражают корпорации через электронные письма, которые сотрудники принимают по HTTPS, POP3 и IMAP. Такая типовая ошибка настолько распространена, что я вынужден написать об этом после очередного случая заражения. Напоминаю! Почта, это не только SMTP!
По информации аналитиков UNIT42, действительно, облачные песочницы Palo Alto Networks видят самым популярным приложением по доставке zero day именно SMTP, но это же не означает, что нужно игнорировать остальные приложения.



Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 
В рассылке приходят: 1. хеши вредоносных файлов 2. email адреса - источники угрозы 3. IP адреса источников угрозы
Что нужно сделать после получения данной рассылки.
1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется. Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по вс…

Как настраивается защита от фишинга встроенная в Palo Alto Networks NGFW

Защита от фишинга встроенная в Palo Alto Networks NGFW сканирует отдаваемые сотрудниками логины и пароли на внешние сайты и сравнивает их с логинами организации. Если выявлены поддельные сайты где пытаются украсть логины и пароли сотрудников, то это блокируется. Как это настроить тут: https://www.paloaltonetworks.com/documentation/80/pan-os/newfeaturesguide/content-inspection-features/credential-phishing-prevention
Настраивается в колонке User Credential Submission в настройках профиля URL фильтрации.

Информация о найденных кражах логинов отображается в журнале:

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.

ФСТЭК заблокировал атаку

Очень интересный фильм, и внезапно в середине фильма! ФСТЭК! ) Авторы жгут!

Интеграция Palo Alto Networks с другими решениями

На этой странице буду поддерживать ссылки описывающие интеграцию платформы Palo Alto Networks с другими решениями:

Кликать тут:
 ▪ Airwatch
 ▪ ForeScout
 ▪ Proofpoint
 ▪ Tanium
 ▪ Tripwire
 ▪ Trusteer
 ▪ Cisco ACI

Распишу Tanium прямо тут, поскольку с российских IP адресов они не разрешают к себе заходить. NGFW отправляет файлы в песочницу Wildfire, в результате анализа все IoC получаемые из отчета Winldfire отправляются в Tanium, который уже ищет эти IoC на рабочих станциях используя STIX. Замечу, что NGFW также получает все IoC в устройство из Wildfire после анализа. Картинка ниже:


10 из 10 обязательных функций межсетевого экрана нового поколения

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложенийПоддержка абсолютно одинаковых функций межсетевого …

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.
Смотрим:
В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано 4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блоки…

9 из 10 обязательных функций межсетевого экрана нового поколения

Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций…

Что делать в связи с новой эпидемией Petya?

После эпидемии криптолокера WannaCry прошло не так много времени. Сейчас пошла очередная эпидемия и новостные сайты уже кипят новостями. На самом деле это не новая атака. Вирус Petya + Misha обычно доставляется путем фишинговых email писем в отдел кадров, с приложенным резюме! Смотрите на этот вектор атаки!
Если вам важно защитить себя, то все-таки  1. нужно обзавестись хостовой защитой. Например TRAPS 2. нужно обзавестись песочницей для сетевого трафика. Например Wildfire. 3. нужно проверить, что бекапы в вашей компании работают и сделаны в последнее время 4. нужно проверить, что у вас ставятся обновления и стоят самые последние
Есть много индикаторов компрометации (IOC) тут https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Если у вас Palo Alto Networks, то вот рекомендации что делать https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Вот можно посмотреть какие производители видят уже этот вирус. Сейчас это 16 из …

Чем отличается NGFW от UTM

Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.
Что было сначала?  Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые…

9 июня начинается Palo Alto Networks CTF (Capture the Flag)

9 июня мы стартуем Palo Alto Networks CTF (Capture the Flag). 25 заданий нужно сделать за 6 недель. Первый человек, который пройдет все задания получает приз 10000 долларов. Я считаю, что победить и забрать весь призовой фонд должны русские безопасники! 

Подробнее на сайте labyrenth.com

Aperture - защита облачных приложений. Приглашение на вебинар.

Приглашаю на вебинар во вторник, 13 июня, в 11-00 по Москве. Регистрация: https://register.gotowebinar.com/register/260019489977241859
Спикер: Максим Автоненко, Тайгер Оптикс
Облачные SaaS-приложения, такие как Office 365 или Box, все чаще используются компаниями по всему миру, в том числе в СНГ.
Использование готовых облачных решений повышает производительность сотрудников, но также создает дополнительные риски, включая распространение вредоносного ПО, утечки данных или случайное разглашение информации. Эти изменения требуют новых подходов к мониторингу действий пользователей, контроля доступа и защиты данных в облачных приложениях.
Aperture - новый сервис от Palo Alto Networks, который позволяет поставить облачные приложения под контроль, обеспечить понимание происходящего в них, а также создать условия для их безопасного использовать сотрудниками.
Подключайтесь к совместному вебинару Palo Alto Networks и Тайгер Оптикс, чтобы узнать подробности и увидеть демонстрацию сервиса Aperture.

8-я обязательная функция вашего нового межсетевого экрана

8/10 Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений. Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций межсетевого …