К основному контенту

Сообщения

Сообщения за Май, 2017

Бесплатный аудит безопасности сотрудниками Palo Alto Networks

Мы рады предложить Вам проведение бесплатного АУДИТА БЕЗОПАСНОСТИ СЕТИ с помощью межсетевого экрана нового поколения Palo Alto Networks! После данного аудита мы предоставим отчет о приложениях и угрозах в сети (SLR отчет). 

Алгоритм получения отчета

Установка устройства в сетьМониторинг сетевого трафика в течение 1 неделиПредоставление отчета и объяснение его содержимого в деталях.


Поведения каких приложений попадает в отчет:

Приложения, которые самостоятельно устанавливаются пользователями на рабочие станции и используются в сети. Приложения, которые могут использоваться для осуществления скрытых действий (внешние прокси-серверы, средства удаленного доступа). Приложения, использование которых может привести к уничтожению или утечке конфиденциальных данных (клиенты файлообменных сетей / приложения на базе web- браузера). Приложения, используемые для личного общения (системы мгновенного обмена сообщениями, web-почта и средства передачи речи по IP-сетям (VoIP)). Приложения, использующи…

7 из 10 обязательных функций вашего нового межсетевого экрана

7/10 Ваш межсетевой экран нового поколения должен обеспечивать непрерывный контроль над всеми пользователями, независимо от их местоположения или типа устройства.  Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти прило…

Тест драйв Palo Alto Networks NGFW, TRAPS, NSX без инсталляции: на CloudShare

Существуют запросы поставить виртуальные NGFW и TRAPS для того, чтобы протестировать и посмотреть интерфейс и функционал. Это все реализовано в виде готовых установленных стендов в нескольких вариантах: только хостовая защита TRAPS, только NGFW, только утилита MigrationTool для конвертации правил со старых межсетевых экранов разных вендоров на NGFW, система управления несколькими межсетевыми экранами Panorana, система защиты виртуализации на базе NSX и ESXi. По запросу партнеры, дистрибюторы и офис Palo Alto Networks на Садовнической улице (в районе метро Павелецкая) проводит в своих классах выбранные тест-драйвы с участием преподавателя. Существуют готовые лабораторные работы с пошаговым описанием что нужно сделать, чтобы защититься от конкретных угроз. Нужно только принести свой ноутбук и получить доступ к выбранному набору виртуальных машин.
Какие функции Palo Alto Networks можно протестировать? 

Песочницу Wildfire, защиту облаков Aperture, базу Theat Intelligence которая поставляе…

6 из 10 обязательных функций межсетевого экрана нового поколения

6/10 Ваш межсетевой экран нового поколения должен проверять угрозы в файлах на всех портах, определяя все приложения. Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций м…

WanaCryptor и TRAPS - кто победит?

Вот так выглядит скриншот TRAPS после запуска exe файла с WanaCrypt0r.



5 из 10 обязательных функций межсетевого экрана нового поколения

5/10 Ваш межсетевой экран нового поколения должен управлять неизвестным трафиком. Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, …

Защита от WanaCryptor или WannaCry или что сделали для вас безопасники за выходные

Что делать, если вы ничего не делали?

1. Ставить патчи.

2. Отключить SMBv1. Вот это описание как отлючить SMB 1 версии через политики GPO. Но есть мнение, что это не поможет, потому что часть атаки идет по SMB 2 версии, которую отключить можно, но перестанет работать SMB совсем.

3. Узнать объем работы.
Вот это утилита для просмотра какие Windows хосты в сети без нужных патчей RuSIEM Security Checker, спасибо Олесе Шелестовой
http://bit.ly/2pLv1JVИ есть утилита для командной строки у компании R-Vision
https://rvision.pro/blog-posts/wannacry-vuln-tool/ Пока патчи не стоят, сетевикам сделать блокировку SMB (или заблокировать 139 и 445 порт на обычном  access-list) - ввести внутреннюю сегментацию сетей, чтобы заражение из одного сегмента не перетекало в соседний.








Существуют ли американские хакеры?

После сообщения о новом криптолокере WanaCrypt0r невозможно не написать о том кто виноват в его появлении.

C 2016 года до 2017 в сеть последовательно выкладываются эксплойты, которые приписывают подразделению хакеров из подразделений АНБ и ЦРУ, например утилита EternalBlue, на основе которой сейчас работает WanaCrypt0r. Если находятся эксплойты, как например  в 2014 году это был Heartbleed в библиотеке OpenSSL, то тоже оказывается что спецслужбы США знали об этом пару лет уже как, но молчали.

Вообще-то начиная с 2008 года они должны об этом рассказывать. Даже в январе 2014 года президент США Обама написал закон, что если секретные агенты хотят использовать zero day уязвимости и не оповещать об этом никого, то они должны одобрить это используя так называемый Vulnerability Equities Process (VEP). Когда Shadow Brokers в 2016 году выложили эксплойты для взлома Android, Cisco, iPhone, Juniper, Fortinet, Microsoft в открытый доступ, то стало понятно, что АНБ и ЦРУ "клали" на указ…

Какие уязвимости использует криптолокер WanaCryptor и что с ними делать

Что случилось?   Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ утекло очень опасное кибероружие (они как обычно не признаются и не каются). Об этом стало известно, когда не менее безответственный человек из Shadow Brokers выложил это оружие в Интернет. Среди них был эксплойт EternalBlue. В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows используя его стандартный сервис доступа к файловой системе по сети - протокол SMB. То есть не нужно получать никакого письма в почту - сетевой червь сам вас найдет и запустится.


Строки из кода EternalBlue
Есть ли решение?   Да, компания Микрософт напряглась и выпустила уже исправление к этой пачке уязвимостей, вот описание: MS17-010 Но сами хакерские утилиты уже активно используются и всем компаниям и домашним пользователям надо быть настороже.

 Так вот одна из утилит от американских хакеров EternalBlue нашла свое применение в реализации криптолокера WanaCryptor, он же WanaCryp…

4 из 10 обязательных функций межсетевого экрана нового поколения

4/10 Безопасное разрешение приложений. Контроль функций приложений и их подприложений. Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций межсетевого экрана как в аппарат…

3 из 10 обязательных функций межсетевого экрана нового поколения

3/10 Ваш межсетевой экран нового поколения должен обеспечивать расшифровку и проверку SSL, а также контролировать SSH. Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций …

Готовлю демонстрацию многоэшелонированной защиты на PHD

Сейчас средства защиты - это швейцарский ножик с огромным количеством функций. Я поставил криптолокер Loki и заблокировал его своим NGFW и TRAPS. Затем я стал поочередно выключать функции которые сработали при блокировке криптолокера. Оказалось, что у меня срабатывает следующая и снова следующая защита. На CISO форуме мне не хватило часа, чтобы отключить все блокировки и Loki стал работать. На PHD мы будем отключать блокировки целых 1.5 часа в надежде что Loki обойдет защиту.
Основными векторами атаки будут: SWF(Flash) ролик в брайзере, JS файл, VB в Excel, ссылка в браузере, вложенный в письмо PDF и XLS. В общем все что бывает в реальных сетях. Приходите все это проверим и обсудим! Я готовлю хорошую живую демонстрацию на PHD.

2 из 10 обязательных функций межсетевого экрана нового поколения

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода защитыРасшифрование исходящего SSL и управляющего SSHтрафикаКонтроль функций приложений и их подприложенийУправление неизвестным трафикомСканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портамОбеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройствУпрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложенийОбеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложенийПоддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе
2. Ваш межсетевой экран нового поколения должен иден…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

Чем Threat Hunting отличается от сферического коня в вакууме

Что такое Threat Hunting? Это когда ты ищещь то, что не знаешь. То есть у тебя есть гипотеза как тебя атакуют и ты на основе журналов сети и хостов ее обосновываешь или отвергаешь.

Например, у тебя есть гипотеза, что тебя взломали русские хакеры, ты находишь вредоносный код, в котором содержится китайский текст и это доказывает тебе, что это именно русские хакеры, потому что русские хакеры специально использовали иероглифы, чтобы сбить с толку тебя, крутого американского исследователя.

И предыдущий абзац - это текст от супер хакера, который выступал на одной из конференций про Threat Hunting. Я лично в ужасе и давно не слышал такого бреда. Хотя слайды и инструменты были у него очень интересные. Но результат - ниже плинтуса. Ну то есть вопросы к тому кто придет занимать TH: что он за человек, сколько он просит денег и сколько ему нужно времени на результат и через какие телеканалы он воспринимает реальность.

Где взять время?
Что нужно чтобы заниматься Threat Hunting? Время? Где оно у о…