К основному контенту

Сообщения

Сообщения за Декабрь, 2018

1 место на конкурсе "Наша Игра" заняла команда Anti-APT-Group

Сегодня вышла официальная запись игры, поэтому радостно сообщаю, что
1 место на конкурсе "Наша Игра" заняла команда Anti-APT-Group в составе:
Батранков Денис – Palo Alto Networks (капитан) Журин Сергей – Элерон Кузнецов Александр – НТЦ Вулкан Костров Дмитрий – SAP Пудов Дмитрий – ANGARA
Видеозапись игры доступна https://tv.ib-bank.ru/video/384


Тема была очень непростой: регуляторы и спецслужбы всего мира, будучи с проигрышем больше -1000 баллов уже начали спешить, но затем взяли себя в руки, вышли в плюс и победили. Победителей не судят! Оказалось полезно не отвечать на вопрос, если знаешь ответ, но сомневаешься. Эта стратегия позволяла только набирать баллы в плюс, а не падать в минус. Ну и зрительная память, оказалось, очень помогла с последним неожиданным вопросом.

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 

Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника. Для многих является загадко…

Kill Chain в примерах

Заметил, что для многих начинающих безопасников понятие Kill Chain - сферический конь в вакууме. Понятно, что можно рассказать красивую историю, что это методика обхода защиты, когда на каждом этапе ты делаешь минимальное действие, необходимое для обхода защиты. И поэтому мы сделали такой слайд, где эти методики приведены в виде примеров. Так ведь понятнее? И становится понятнее от чего конкретно защищаться. В принципе каждый безопасник легко может дополнить каждый пункт на основе своего опыта.  Вижу частую ошибку, что e-mail атаки ждут только по протоколу SMTP - его и защищают, в когда сотрудник получает письмо с вложением на сайте mail.ru или gmail, или через своего почтового клиента по POP3 или IMAP, то почему-то оказывается там никто и не проверял вирусы и не включал отправку в свою дорогую песочницу. То же самое, когда система управления бот-сетями использует twitter для отправки сообщений и получения команд - тоже мало кто готов.