К основному контенту

Сообщения

Сообщения за Октябрь, 2017

Что нужно делать после получения рассылки FinCERT

Часто спрашивают как заблокировать то, что перечислено в рассылке от FinCERT (ФинЦЕРТ) Центрального Банка РФ. 
В рассылке приходят: 1. хеши вредоносных файлов 2. email адреса - источники угрозы 3. IP адреса источников угрозы
Что нужно сделать после получения данной рассылки.
1. Проверить что ваш антивирус или песочница уже блокируют этот хеш. Если у вас есть оборудование с доступом к глобальной базе Threat Intelligence, то с большой вероятностью эта информация уже пришла в оборудование и все перечисленное блокируется. Например, в Palo Alto Networks NGFW встроен антивирус и песочница, и хеш проверить можно на портале threatvault.paloaltonetworks.com/ - вы вводите в строку поиска хеш и получаете ответ в каком обновлении антивируса или песочницы пришла сигнатура. Например, проверим хеш F24B160E9E9D02B8E31524B8A0B30E7CDC66DD085E24E4C58240E4C4B6EC0AC2 - он есть в обновлениях антивируса и песочницы Wildfire (обновляется каждые 5 минут сигнатурами, которые обнаружили песочницы заказчиков PANW по вс…

Как настраивается защита от фишинга встроенная в Palo Alto Networks NGFW

Защита от фишинга встроенная в Palo Alto Networks NGFW сканирует отдаваемые сотрудниками логины и пароли на внешние сайты и сравнивает их с логинами организации. Если выявлены поддельные сайты где пытаются украсть логины и пароли сотрудников, то это блокируется. Как это настроить тут: https://www.paloaltonetworks.com/documentation/80/pan-os/newfeaturesguide/content-inspection-features/credential-phishing-prevention
Настраивается в колонке User Credential Submission в настройках профиля URL фильтрации.

Информация о найденных кражах логинов отображается в журнале: