К основному контенту

Сообщения

Сообщения за 2018

Kill Chain в примерах

Заметил, что для многих начинающих безопасников понятие Kill Chain - сферический конь в вакууме. Понятно, что можно рассказать красивую историю, что это методика обхода защиты, когда на каждом этапе ты делаешь минимальное действие, необходимое для обхода защиты. И поэтому мы сделали такой слайд, где эти методики приведены в виде примеров. Так ведь понятнее? И становится понятнее от чего конкретно защищаться. В принципе каждый безопасник легко может дополнить каждый пункт на основе своего опыта.  Вижу частую ошибку, что e-mail атаки ждут только по протоколу SMTP - его и защищают, в когда сотрудник получает письмо с вложением на сайте mail.ru или gmail, или через своего почтового клиента по POP3 или IMAP, то почему-то оказывается там никто и не проверял вирусы и не включал отправку в свою дорогую песочницу. То же самое, когда система управления бот-сетями использует twitter для отправки сообщений и получения команд - тоже мало кто готов.

Как сотрудник SOC автоматизирует защиту компании

В принципе то, чем занимаются ИТ и ИБ - автоматизация идей. У аналитиков SOC очень много различных задач и одна из них - находить индикаторы угроз, которые были уже в компании или (и желательно) которые были в ДРУГИХ компаниях. И вот тут становится интересной задача автоматизации этого процесса. Кто-то где-то кому-то поделился PlayBook или TTP в формате STIX или TAXII или просто сам аналитик только что нашел характерный паттерн поведения атакующего. Что дальше? Ручками ввести это все в системы защиты компании - долго. Нужна автоматизация. Существует бесплатная утилита MineMeld, которая позволяет втянуть в себя различные форматы обмена TTP и затем выдать в нужном формате для имеющихся средств защиты. Например, для NGFW Palo Alto Networks это будет формат External Dynamic List, где уже готовые списки блокировки URL, IP, DNS поставляются прямиком в межсетевой экран, который их автоматически блокирует. Такая презентация выложена сейчас на Slideshare. Предлагаю ее посмотреть на SlideShare

Угрозы безопасности данных в облаках vs локальным

Незаметно люди уже перешли в облака, посмотрите: у всех в руках на совещании смартфоны. Спросите коллег, сколько из них отказалось от облаков iCloud или от Google Cloud в своих смартфонах?

Основные причины, почему компании, особенно в России, не хотят переходить в облака можно перечислить: - не гарантирована доступность - могут взять и "отключить" от облака; - не гарантирована защищенность инфраструктуры - админы облака могут подключаться к ней; - не гарантирована защищенность софта, которым пользуются облачные сервисы - там могут быть дыры, которые позволяют украсть наши данные.
И я согласен.
В то же самое время, я бываю во многих компаниях. И что я вижу: - да, в некоторых компаниях задублированы некоторые устройства, системы хранения, каналы, но обычно не все - тоже случаются перебои с доступностью; - да, в некоторых компаниях админы работают годами и только они отвечают и строят сеть,  то есть никто другой не может подключаться, но обычно люди приходят и уходят, часто ра…

Безопасность на дорогах и безопасность в компьютерных сетях

Аналогия
Если провести аналогию с правилами дорожного движения и правилами информационной безопасности, то можно увидеть куда надо стремиться. Правила дорожного движения разрабатываются давно, поэтому их все более менее знают. Если кто-то хочет выехать на дорогу, то он знает, что сначала нужно выучить правила, сдать их и потом уже можно.  Если ты просто подключаешься в интернет, то простейшая наглядная агитация на стенах учреждения, висит только в продвинутых компаниях, типа Сбербанка. В Интернет если кто-то хочет подключить свою организацию, то правила тоже есть: отраслевые (банк России), государственные  (ФЗ-152) и надгосударственные (GDPR, PCI DSS). Правила эти никого сдавать не требуют. Обучать людей не треюут. А почему? Ведь аналогия с правилами дорожно движения говорит, что это нужно делать.  Соответственно на курсы никто не ходит, а они (слава богу) есть. Я об этом и хочу поговорить.
Специалисты
Основная проблема любой организации, что в ней нет специалистов, которые бы где-то с…

Stonesoft Evader Tool жив?

Сегодня изучал последние тесты NSS Labs, где лучше всех по процентам в области атак выглядел ForcePoint. При ближайшем рассмотрении оказалось, что часть атак относится как раз к классу resiliency и за счет этих атак ForcePoint обошел всех. NSS не раскрывает, как всегда, что были за атаки, но говорит, что это старые атаки, которые были видоизменены. Это как раз любимая фишка была у StoneSoft, который теперь ForcePoint. Это было сделано в свое время в Evader Tool и что-то мне говорит, что это снова он.
Приведу пример подобных видоизмененных атак: допустим мы берем обычный вирус eicar и просто пакуем его в zip в несколько итераций вкладывая zip в zip. Есть вендора, кто будет распаковывать 3 таких вложения, есть кто 7, есть кто 10. Поэтому в тесте типа resiliency, где eicar запакован 8 раз один вендор пропустит, а другой заблокирует. Мы (PANW) рекомендуем в нашем best practiсe в принципе блокировать такие странные файлы используя file blocking profile. И все эти тесты StoneSoft Evader To…

Демонстрационная лицензия на партнерском портале Palo Alto Networks

Часто партнеры спрашивают как же сделать лицензию демонстрационную на NGFW для себя или для заказчиков Palo Alto Networks. Лицензию может сделать любой партнер компании Palo Alto Networks прямо со своего партнерского портала NextWave. Там есть такая кнопочка EvalRequests. Если для себя, то выбратьMarketing/Tradeshow, и если для заказчика, то CustomerEval.

Послевкусие конференции Positive Hack Days

Послевкусие конференции Positive Hack Days

Уже много лет прихожу на этот замечательный форум и понимаю, что для меня Positive Hack Days это
- возможность встретить ВСЕХ и узнать кто куда устроился на новое место
- возможность встретить тех, кого не ожидал, например Стивена Сигала или Жириновского - возможность послушать очень интересных людей не только из России, но и других стран
- возможность познакомиться с новыми людьми

В этом году компания Palo Alto Networks участвовала вместе с компанией Ангара и для меня приятной неожиданностью было иметь свою собственную переговорную комнату, где можно было спокойно посидеть и пообщаться, попить кофе и другие напитки.
За что я благодарен организаторам превыше всего - за видеотрансляцию выступлений. К сожалению на всех секциях быть одновременно невозможно, поэтому я использовал ноутбук и наушники, чтобы сидя на одной секции "подсматривать" что происходит на всех соседних.
Что больше всего впечатлило в этот раз, так это выступление Еле…

µTorrent поставляется с Adware

При попытке поставить µTorrent с их официального портала http://www.utorrent.com/intl/ru/, выяснилось, что многие антивирусы против одного из его модулей с хешем SHA256

6d3d8be63e496ed5062f84557a0eaddb27c2c1ea3653b3240c4557cca95fd8e2
TRAPS для MACOS заблокировал µTorrent при инсталляции:
И я сразу нашел этот хеш на VirusTotal
Оказалось, что с этим замечательным продуктом, все ставят себе Adware.

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

Автоматизация конфигурации межсетевого экрана Palo Alto Networks

Автоматизация конфигурации межсетевого экрана Palo Alto Networks Существуют одинаковые вопросы, которые периодически возникают у заказчиков. Сегодня коснусь частого вопроса как быстро создать много одинаковых правил или как быстро добавить много одинаковых объектов в одно правило. Часто во время тестирования производительности заказчики ставят задачу: добавьте 500 правил NGFW или допустим 300 правил NAT. Естественно я не создаю это вручную из web интерфейса. Как это можете автоматизировать вы?
Есть два способа
ПЕРВЫЙ СПОСОБ: REST API Через REST API скриптами. И здесь Palo Alto Networks чаще всего настраивают используя библиотеки для Ansible, вот тут они лежат (https://github.com/PaloAltoNetworks/ansible-pan). DevOps используют Ansible для разных целей и настройка NGFW одна из задач. Ansible используется для автоматической конфигурации динамически создаваемых виртуальных межсетевых экранов. Сегодня это актуально при использовании их для защиты сервисов компании, реализованных внутри п…

Apple и гордыня

Выдали на работе новый ноутбук MacBook Pro.
Это же как ненавидит своих пользователей тот новый руководитель Apple, чтобы лишить их портов? Хотя нет, это скорее всего обычная гордыня. Он настолько крут, у него такой классный софт и железо, на которые все молятся, что теперь можно заставлять пользователей мучаться.  Этим путем уже шла Sony со своим MMC, вместо SD карт, Cisco со своим ISL, вместо 802.1q. И что теперь? Теперь я еще потратил больше 100 долларов, чтобы обвесить эти непонятные дырки нормальными портами Ethernet, HDMI и USB, которые мне нужны для работы. Спасибо, гордый изобретатель Apple!
Помните зарядку на магнитике MagSafe? Ее больше не существует. Красавцы!
Зато я теперь знаю что такое HyperDrive. Его считают лучшим навесным устройством в новому Apple. Фантастически неудобно.



А раньше все порты были прямо в ноутбуке. А теперь мобильность потеряна.




Пока листал и смотрел что думают другие, нашел пародийный ролик на порты зарядки Apple.

Что такое и что делать с Meltdown и Spectre

Уязвимости Meltdown и Spectre - 

Это серьезно_Не_ дают возможности выполнить удаленно кодДают возможность удаленно прочитать данные ядра или других процессов, например, логины, пароли, кредитные картыУязвимы операционные системы Linux, Windows, Android, MacOs, iOS и другие операционных системы, включая ОС смартфоновАтака возможна прямо из JavaScript с любого сайта на который вы зашлиЯвляются большой угрозой для систем виртуализации и облаков, где на одном сервере работают несколько заказчиковЧто будет сделано и надо сделать Производители массово выпускают патчи - ищите для своей операционной системыПроизводители всех устройств, включая IoT, ICS/SCADA уже осознали что уязвимость есть и исправить ее нельзя совсемПользователи мобильных устройств, скорее всего смогут устранить уязвимость, поменяв телефон на новый, когда выйдут новые телефоны с неуязвимыми процессорамиОбновления нужно ставить как можно быстрее, хакеры скорее всего уже пользуются уязвимостью.Пользователи хостинга и облачных с…