Ситуация с информационной безопасностью России

 Как следует из отчета пентестеров,

🔴 63% организаций могут взломать начинающие хакеры.  

🔴 96% организаций открыты для профессиональных хакеров. 

🔴 21% проверенных организаций имеют явные следы пребывания хакеров, то есть были взломаны неоднократно.

🟢 7% организаций имеют высокий уровень защищенности.

Основными причинами успешного проникновения во внутреннюю сеть стали 

♦️ недостатки парольной политики,

♦️ уязвимости в коде веб-приложений и 

♦️ недостатки конфигурации сервисов, находящиеся на периметре сети (например, VPN, Citrix). 

🔴 Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей. Включите вы MFA когда-нибудь или нет? )

💥 Какие системы были атакованы чаще всего и соответственно стоит проверить у всех в первую очередь:

CMS - управлет контентом вашего сайта
Почтовый сервер - всегда доступен снаружи
PMS - управление проектами
Видеоконференции - тоже доступны снаружи

Почти в каждом пентесте выявляется уязвимость PetitPotam, которая помогает стать администратром домена Active Directory. Как защититься описано в KB5005413 у Microsoft.

Для повышения привилегий используются атаки, которые вы найдете по ключевым словам DCSync, LSA Secrets, LSASS memory, NTDS.dit.

В итоге, чем больше компаний перестанет пользоваться Microsoft Active Directory, тем защищенней они будут. 

🔴 Какие пароли пользователей встречаются на пентестах?

Да все те же, что последние 30 лет существования компьютеров:

12345678,
Qwerty123,
Aa12345678,
123qweASD,
123456,
123,
111111,
НазваниеКомпании2022,
пароли по-умолчанию.

Людей изменить нельзя, поэтому включите двухфакторную аутентификацию, чтобы снизить риск кражи и подбора пароля.

🛡 Обновите свои системы сегодня

На скриншоте приведен список уязвимостей, которые чаще всего использовались пентестерами. Для этих уязвимостей уже много лет есть обновления, но они до сих пор у компаний не установлены. 

Установите патчи, пожалуйста. Сегодня!

Полный отчет тут 

Услугами пентестеров пользуются компании на высоком уровне зрелости. Множество компаний просто не знают свой уровень защиенности. И можно только гадать как у них обстоят дела.

NGFW изнутри. Вся правда о производительности.

Выпущена серия из трех видеороликов о производительности NGFW.

1. В первой части общий обзор как трафик проходит через NGFW. И это нужно знать, чтобы понять следующие две части.

2. Во второй части рассказ про то как посчитать CPS в своей будущей сети на основе знаний о числе хостов.

Также вы узнаете как производительность зависит от включенных функций.

3. В третьей части рассказ про то как сам трафик влияет на производительность, в чем разница между транзакциями 64Кб, 256Кб, 1.7Кб.

И также рассказываю как понять число одновременных соединенений (Concurrent Connections) в вашей будущей сети

 

И еще,  завершающая песня про Firewall написанная искуственным интеллектом!

Подписывайтесь на канал Топ Кибербезопасности

 

Искусственный интеллект в информационной безопасности

1. Актуальность искусственного интеллекта

Современные компании сталкиваются с растущими угрозами кибербезопасности, которые становятся все более сложными и изощренными. В этом контексте использование искусственного интеллекта (ИИ) становится критически важным для обеспечения защиты информации. ИИ может существенно повысить информационную безопасность компании, предлагая следующие преимущества:

• Обнаружение и предотвращение угроз: ИИ анализирует поведение пользователей и систем для выявления аномалий и предотвращения атак в реальном времени.
• Управление доступом и аутентификация: Использование биометрических данных и многофакторной аутентификации для надежной защиты.
• Обнаружение фишинга и спама: Анализ электронной почты и обучение сотрудников для распознавания фишинговых атак.
• Защита сетевой инфраструктуры: Интеллектуальные брандмауэры и мониторинг сети для предотвращения угроз.
• Ответ на инциденты и автоматизация: Автоматизация процессов реагирования на инциденты для минимизации ущерба.
• Управление уязвимостями: Автоматическое сканирование и устранение уязвимостей.
• Обнаружение и предотвращение утечек данных: Мониторинг и контроль доступа к данным для предотвращения утечек.

2. Какие данные анализирует искусственный интеллект

Для эффективного обнаружения угроз в сетевом трафике и других данных, ИИ анализирует множество различных источников. Вот основные категории данных и примеры:

• Лог-файлы и сетевые журналы: Логи сетевых устройств (маршрутизаторов, коммутаторов, брандмауэров), серверов и конечных точек, системы обнаружения и предотвращения вторжений (IDS/IPS), прокси-серверов.
• Сетевой трафик: Полные сетевые пакеты (PCAP-файлы), метаданные о сетевом трафике (заголовки пакетов), временные метки и продолжительность соединений, паттерны трафика.
• Данные о пользователях и устройствах: Информация о пользователях (учетные записи, роли, права доступа), подключенных устройствах (MAC-адреса, IP-адреса, типы устройств), поведенческие паттерны пользователей и устройств.
• Аномалии и инциденты: Предыдущие инциденты безопасности и данные об известных атаках, история предупреждений и оповещений системы безопасности.
• Контент данных: Содержимое передаваемых данных (анализ на наличие вредоносного ПО, подозрительных скриптов), данные о посещаемых веб-сайтах и скачиваемых файлах.
• Внешние источники угроз (Threat Intelligence): Списки известных вредоносных IP-адресов и доменов, информация о новых уязвимостях и эксплойтах, обновления о тактиках, техниках и процедурах (TTPs) злоумышленников.

Примеры данных 

1. Заголовки пакетов: IP-адрес источника и назначения, порты источника и назначения, протоколы (TCP, UDP, ICMP), размер пакета.
2. Сеансовая информация: Начало и конец соединения, объем переданных данных, частота и регулярность соединений.
3. Поведенческая аналитика: Отклонения в привычных паттернах трафика (например, внезапное увеличение трафика в ночное время), необычные запросы к серверам.
4. Содержимое пакетов: Проверка полезной нагрузки на наличие вредоносного ПО, анализ контента на подозрительные строки или команды.

3. Модели для анализа сетевого трафика, логов и событий на хостах

Существует множество моделей машинного обучения и алгоритмов ИИ, которые используются для анализа сетевого трафика, логов и событий на хостах. Вот некоторые из них:

• Глубокие нейронные сети (DNN): Подходят для классификации и обнаружения аномалий в сетевом трафике и логах. 
  • Преимущества: Глубокие нейронные сети могут обучаться сложным паттернам в данных и адаптироваться к разнообразным сценариям, что помогает уменьшить количество ложных срабатываний при правильной настройке и обучении.
  • Недостатки: Требуют большого объема данных для обучения и значительных вычислительных ресурсов. Могут переобучаться, если не применять регуляризацию.
• Рекуррентные нейронные сети (RNN) и длинная краткосрочная память (LSTM): Эффективны для анализа временных рядов и предсказания аномалий.
  
  • Преимущества: RNN и LSTM хорошо работают с последовательными данными и могут выявлять временные зависимости и аномалии, что помогает уменьшить ложные срабатывания в анализе сетевого трафика.
  • Недостатки: Могут быть сложными в обучении и настройке, требовать значительных вычислительных ресурсов.
• Автокодировщики (Autoencoders): Хорошо выявляют отклонения от нормального поведения.
• Преимущества: Автокодировщики хорошо подходят для обнаружения аномалий, так как они могут выявлять отклонения от нормального паттерна. Это помогает сократить количество ложных срабатываний.
• Недостатки: Могут быть менее эффективны на данных с большим разнообразием нормального поведения.
• Генеративно-состязательные сети (GAN): Используются для создания синтетических данных и выявления аномалий.
• Преимущества: Могут обучаться на немаркированных данных, снижая затраты на подготовку данных.
• Недостатки: Координация двух нейронных сетей (генератора и дискриминатора) сложна и может быть нестабильной. Требуют значительных ресурсов и времени для обучения. Не всегда идеально соответствует реальным данным, что критично для безопасности.
• Поддерживающие векторы машины (SVM): Подходят для задач классификации и регрессии.
• Преимущества: SVM хорошо работают на данных с четкими границами между классами. Они часто дают высокую точность при классификации и, при правильной настройке, могут уменьшить количество ложных срабатываний.
• Недостатки: SVM могут быть менее эффективны на очень больших наборах данных и могут требовать значительных вычислительных ресурсов для обучения.
• Деревья решений и случайные леса (Random Forests): Обеспечивают высокую точность и устойчивость к переобучению.
  
  • Преимущества: Этот ансамблевый метод объединяет множество деревьев решений, что помогает уменьшить переобучение и улучшить обобщающую способность модели. Случайные леса часто дают более точные результаты и меньше ложных срабатываний.
  • Недостатки: Могут быть медленными при прогнозировании на больших наборах данных.
• Градиентный бустинг (Gradient Boosting): Объединяет слабые модели для создания сильной, что улучшает точность.
  • Преимущества: Градиентный бустинг является мощной техникой ансамблевого обучения, которая объединяет слабые модели (обычно деревья решений) для создания сильной модели. Он часто демонстрирует высокую точность и низкий уровень ложных срабатываний.
  • Недостатки: Модели градиентного бустинга могут быть вычислительно интенсивными и требовать тщательной настройки гиперпараметров.
• Кластеризация (Clustering): Используется для группировки данных и выявления аномалий.
• Баесовские сети (Bayesian Networks): Подходят для анализа сложных зависимостей в данных.
• Алгоритмы на основе графов: Анализируют сетевой трафик как графы для выявления атак и аномалий.
• Обработка естественного языка (NLP): Анализируют текстовые данные для выявления угроз на основе неструктурированной информации.

4. Компании, использующие искусственный интеллект

Вот таблица с перечисленными компаниями, их продуктами и поддерживаемыми моделями:

Заключение

Другие новинки отрасли обсуждаются в канале Топ Кибербезопасности.

Современные NGFW (Next-Generation Firewall) и другие решения для обеспечения информационной безопасности с использованием искусственного интеллекта предоставляют мощные инструменты для повышения уровня защиты. При выборе решения стоит учитывать способность системы адаптироваться к новым угрозам, точность обнаружения и уровень ложных срабатываний. Компании, такие как Palo Alto Networks, Fortinet, Cisco, IBM, Microsoft, и Check Point, предлагают передовые технологии и решения, которые могут удовлетворить потребности любой организации в области кибербезопасности.

ЗЫ: Эту статью тоже написал искусственный интеллект. 

На какие бы выступления RSA Conference 2024 я бы пошел

Интересные выступления на RSA Conference 2024

Пролистывал программу конференции и вывел для себя небольшой список - куда бы я пошел, если бы был там. Возможно вы тоже хотите посмотреть о чем говорят на международных конференциях?

По списку тем у меня есть ощущение, что есть какая-то усталость у всех. Все уже так наелись взломов, что не хотят про это говорить. И еще есть надежда у многих, что появится волшебная таблетка в виде AI. При этом искусственный интеллект еще и боятся: есть обсуждение что LLM еще и проблемы создает. Все ссылки я выложил в своем телеграм канале.

Уверен, надо будет послушать в записи эти основные выступления:

✅ Gartner's Top Predictions for Cybersecurity 2023-2024 потому что аналитики Gartner молодцы

✅ The State of Cybersecurity – Year in Review Google Cloud обычно много знает

✅ Unveiling the 2024 Data Breach Investigations Report (DBIR)  отчет Verizon обычно неплох

✅ Security's Social Problem интересно узнать что Google имеет в виду - они разве не в курсе про Поибэшечку, ИБ митап и мой блог?

✅ Tech Diplomacy: Building Cyber Resilience Together  министры иностранных дел нескольких стран обсудят тему защиты

✅ The Five Most Dangerous New Attack Techniques You Need to Know About выступает SANS, а они то всегда знают о чем говорят

✅ The Time is Now: Redefining Security in the Age of AI обычно Cisco хорошо готовятся к выступлениям и дают пользу

Ну и так далее все ссылки в моем телеграм канале.

ИТ-инфраструктура предприятия - полный список

Инфраструктура предприятия по мотивам произведений Ван Гога

ИТ-инфраструктура предприятия 

ИТ-инфраструктура предприятия включает в себя широкий спектр элементов, которые обеспечивают поддержку и возможность использования информационных технологий в рамках организации. Вот основные составляющие ИТ-инфраструктуры:

1. Аппаратное обеспечение (Hardware): Серверы, компьютеры, мобильные устройства, периферийные устройства, сетевое оборудование (как коммутаторы и маршрутизаторы) и центры обработки данных.

2. Программное обеспечение (Software): Операционные системы, прикладные программы, системы управления базами данных, и инструменты для разработки программного обеспечения.

3. Сетевая инфраструктура: Элементы связи, включающие в себя широкополосный доступ, сетевые протоколы, маршрутизацию и коммутацию, а также управление трафиком и безопасностью.

4. Устройства хранения данных: Локальные серверы для хранения данных, системы хранения, включая SAN и NAS, а также облачные решения для хранения данных.

5. Телекоммуникационные устройства: Телефонные системы, VoIP-инфраструктура, видеоконференцсвязь и другие средства коммуникации.

6. Информационная безопасность: Решения для обеспечения безопасности сети и данных, включая антивирусное программное обеспечение, фаерволы, системы обнаружения и предотвращения вторжений, а также политики и процедуры по обеспечению безопасности.

7. Управление данными и базами данных: Системы управления базами данных (СУБД), инструменты для анализа данных и управления данными.

8. Управление и мониторинг: Системы для мониторинга работы оборудования и программного обеспечения, управление изменениями, автоматизация задач и ITSM-решения (IT Service Management).

9. Облачные и виртуальные сервисы: Облачные платформы, виртуализация серверов и рабочих станций, а также платформы как услуга (PaaS), программное обеспечение как услуга (SaaS) и инфраструктура как услуга (IaaS).

10. Резервное копирование и восстановление данных (Backup and Disaster Recovery): Системы и процессы, обеспечивающие резервное копирование данных и их восстановление после сбоев или катастроф. Это включает в себя стратегии как на физическом уровне (например, резервное оборудование), так и на уровне программного обеспечения (например, репликация данных и аварийное переключение).

11. Документация и процедуры управления: Полные и актуализированные документы, описывающие архитектуру ИТ-систем, настройки, процедуры управления изменениями, политики безопасности и другие критически важные процедуры управления ИТ-инфраструктурой.

12. Комплаенс и соответствие стандартам: Меры для соответствия законодательным и отраслевым требованиям в области управления данными, безопасности и бизнес-операций. Это включает в себя GDPR, HIPAA, SOX и другие нормативные акты.

13. Управление активами и лицензиями: Системы для управления корпоративными активами, включая оборудование, программное обеспечение, лицензии и другие ресурсы, что позволяет предприятию минимизировать расходы и избегать юридических проблем. CMDB (Configuration Management Database — база данных управления конфигурациями) помогает организациям управлять информацией о всех значимых ИТ-ресурсах, таких как оборудование, программное обеспечение, сетевые компоненты и сервисы.

14. Обучение и поддержка пользователей: Обеспечение доступа к тренингам и ресурсам для повышения квалификации пользователей, что помогает повысить их эффективность при использовании ИТ-систем, а также поддержка пользователей через службы технической поддержки или helpdesk.

15. Экологическая устойчивость: Реализация зеленых технологий и практик, которые минимизируют влияние ИТ-операций на окружающую среду, например, энергоэффективное оборудование и технологии виртуализации для сокращения количества используемого оборудования.

16. Стратегическое планирование и развитие ИТ: Разработка долгосрочных планов по развитию ИТ-инфраструктуры, которые учитывают текущие и будущие потребности бизнеса, технологические тенденции и потенциальные инновации.

17. Интеграция систем: Эффективное соединение различных ИТ-систем и приложений в единую сеть, что позволяет обмениваться данными и функционалом между различными бизнес-процессами. Интеграция может включать в себя использование API, middleware решений, ESB (Enterprise Service Bus) и других технологий.

18. Бизнес-аналитика и интеллектуальный анализ данных: Инструменты и системы, которые помогают анализировать большие объемы данных для получения бизнес-инсайтов, прогнозирования тенденций и поддержки принятия решений на основе данных.

19. Интернет вещей (IoT): Интеграция устройств IoT в корпоративную сеть для автоматизации процессов, сбора данных с устройств и их анализа, что может способствовать улучшению операционной эффективности и разработке новых продуктов и услуг.

20. Мобильные технологии и приложения: Разработка и поддержка мобильных приложений и решений, которые обеспечивают доступ к корпоративным ресурсам и сервисам с мобильных устройств, улучшая доступность и удобство использования для сотрудников и клиентов.

21. Управление проектами и изменениями: Инструменты и методологии для управления ИТ-проектами и изменениями, включая Agile, Scrum и PMBOK. Эти подходы помогают обеспечить, что проекты выполняются в срок, в рамках бюджета и с достижением поставленных целей.

22. Аутсорсинг и вендорское управление: Стратегии сотрудничества с внешними поставщиками и аутсорсинговыми компаниями для обеспечения определенных ИТ-услуг или функций, что позволяет сосредоточиться на ключевых компетенциях предприятия.

23. Непрерывное обучение и развитие персонала: Инвестиции в обучение и развитие навыков ИТ-персонала, чтобы они могли эффективно работать с новыми технологиями и методами, а также способствовать инновациям внутри компании.

24. Культура и управление изменениями: Создание культуры, которая поддерживает непрерывное обновление и оптимизацию ИТ-инфраструктуры, а также умение управлять сопротивлением к изменениям и способствовать адаптации сотрудников к новым технологиям.

25. Цифровые двойники (Digital Twins): Создание виртуальных копий физических активов, процессов или систем для моделирования и анализа. Это позволяет проводить тесты и анализы в безопасной и контролируемой среде, минимизируя риски для реальных операций.

26. Сетевые функции виртуализации (Network Functions Virtualization, NFV): Технология, позволяющая виртуализировать сетевые функции, которые традиционно выполнялись специализированным оборудованием, таким как маршрутизаторы и коммутаторы. Это увеличивает гибкость и масштабируемость сетевых сервисов.

27. Программно-определяемые сети (Software Defined Networking, SDN): Подход к управлению сетями, который обеспечивает централизованное управление сетевым трафиком через программное обеспечение, что повышает гибкость и оптимизацию сетевой инфраструктуры.

28. Разработка без кода (No-Code/Low-Code): Платформы и инструменты, которые позволяют создавать приложения и автоматизированные процессы без необходимости писать код, что упрощает и ускоряет разработку программного обеспечения.

29. Компьютерное зрение и обработка изображений: Развитие технологий компьютерного зрения и обработки изображений для автоматизации задач, таких как распознавание лиц, анализ изображений медицинских снимков и многое другое.

Если же вы хотите углубиться еще дальше, можно рассмотреть следующие элементы и концепции, которые также важны для современных ИТ-инфраструктур:

1. Сервис-ориентированная архитектура (SOA): Подход к проектированию и реализации программного обеспечения, в котором приложения предоставляют услуги другим приложениям через широко используемый интерфейс. Это позволяет легче интегрировать и комбинировать службы в новые приложения.

2. Принципы DevOps и автоматизация: Интеграция разработки, тестирования и эксплуатации с использованием методик автоматизации для ускорения разработки и повышения надежности систем. DevOps-подход помогает улучшить коммуникацию и сотрудничество между различными отделами.

3. Микросервисы: Архитектурный стиль, в котором комплексное приложение разбивается на мелкие, независимые компоненты, которые легче разрабатывать, тестировать и развертывать независимо друг от друга. Это облегчает масштабирование и обновление компонентов приложения.

4. Контейнеризация и оркестрация: Использование контейнеров для развертывания и управления приложениями в изолированной среде. Оркестрация, такая как Kubernetes, помогает управлять контейнерами и автоматизировать развертывание, масштабирование и управление жизненным циклом приложений.

5. Блокчейн и распределенные технологии: Внедрение технологий блокчейн для улучшения безопасности, прозрачности и надежности при обмене данными и транзакциями. Это может быть применено в финансах, цепочках поставок и других областях.

6. Искусственный интеллект и машинное обучение: Интеграция АИ и машинного обучения в корпоративные системы для анализа данных, автоматизации процессов, улучшения принятия решений и создания новых бизнес-моделей.

7. Системы управления энергопотреблением: Решения для мониторинга и управления потреблением энергии в центрах обработки данных и других критически важных системах. Это способствует уменьшению эксплуатационных расходов и поддержанию экологической устойчивости.

8. Управление жизненным циклом приложений (ALM): Процессы и инструменты, которые организации используют для управления жизненным циклом приложений, от концепции через разработку и использование до обслуживания и вывода из эксплуатации.

9. Квантовые вычисления: Исследования в области квантовых вычислений представляют потенциальную революцию в области вычислений. Это может привести к созданию новых алгоритмов и технологий, которые изменят существующий подход к обработке данных и расчетам.

Каждый из этих элементов представляет собой значительное расширение возможностей и сложности ИТ-инфраструктуры, что позволяет предприятиям не только поддерживать текущие операции, но и адаптироваться к будущим изменениям и вызовам.

Информационная безопасность по мотивам произведений Ван Гога

ИТ-безопасность

И если говорить про безопасность, то посмотрите внимательно на следующие технологии для ИБ стратегии согласующейся с ИТ-стратегией компании:

1. Соответствие стандартам кибербезопасности и регулирование: Поддержание соответствия требованиям законодательства и стандартов, таких как ISO/IEC 27001, NIST и других, для обеспечения защиты данных и систем.

2. Межсетевые экраны: Сетевые устройства безопасности, которые контролируют входящий и исходящий трафик на основе заранее установленных правил безопасности.

3. Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW): Этот класс решений позволяет включить множество функций безопасности, реально необходимых компании для сегментации сети.

4. Шлюзы безопасного доступа (Secure Access Service Edge, SASE): Интегрированные сетевые архитектуры, которые сочетают возможности SD-WAN с различными функциями безопасности для обеспечения безопасного доступа к корпоративным ресурсам из любой точки.

5. Системы обнаружения и предотвращения вторжений (IDS/IPS): Инструменты, которые активно мониторят сетевой трафик для выявления и предотвращения подозрительной активности и атак.

6. Сигнатурные и поведенческие антивирусы: Решения, предназначенные для обнаружения, блокировки и устранения вредоносных программ и вирусов.

7. Песочницы: это технология безопасности, используемая для изоляции запуска подозрительных программ, скриптов или кода в безопасной, контролируемой среде. Это позволяет обнаруживать и анализировать потенциально вредоносное поведение, не подвергая риску основную систему.

8. Фильтрация электронной почты: Использование систем фильтрации электронной почты, которые автоматически обнаруживают и блокируют подозрительные письма, содержащие известные фишинговые индикаторы или вредоносные вложения.

9. Веб-фильтрация: Применение веб-фильтров для блокировки доступа к фишинговым веб-сайтам и другим вредоносным онлайн-ресурсам.

10. Антифишинговые инструменты: Использование специализированного программного обеспечения, которое анализирует входящие сообщения на предмет фишинговых попыток и предупреждает пользователей о потенциальной угрозе.

11. Шифрование данных: Использование криптографических технологий для защиты данных в покое и в передаче, что помогает предотвратить несанкционированный доступ к чувствительной информации.

12. Виртуальные частные сети (VPN): Технологии, которые обеспечивают защищенное соединение между пользователями и корпоративными ресурсами через интернет.

13. Многофакторная аутентификация (MFA): Методы аутентификации, требующие от пользователя предоставления двух или более доказательств своей личности для доступа к системе.

14. Резервное копирование и восстановление данных: Регулярное создание резервных копий важных данных и разработка стратегий восстановления после сбоев или атак. Это же обычно берут на себя и ИТ-службы.

15. Управление уязвимостями — это процесс идентификации, классификации, устранения и минимизации влияния уязвимостей в системах. 

16. Патч-менеджмент: Процессы и инструменты для управления обновлениями программного обеспечения, включая безопасное и своевременное применение исправлений и обновлений.

17. Физическая безопасность: Защита физических местоположений данных и систем от несанкционированного доступа и повреждений.

18. Сегментация сети: Разделение сетевых ресурсов на изолированные подсегменты для уменьшения риска распространения угроз внутри сети. Обычно эта задача касается ИТ-службы.

19. Облачная безопасность: Меры безопасности, применяемые для защиты данных, приложений и инфраструктуры в облачной среде.

20. Повышение осведомленности сотрудников: Программы обучения безопасности для повышения осведомленности сотрудников о потенциальных угрозах и способах их предотвращения.

21. Управление идентификаторами и контролем доступа (Identity and Access Management, IAM): Системы управления идентификацией и доступом, которые обеспечивают правильное распределение доступа к корпоративным ресурсам. Эти системы помогают управлять учетными записями пользователей, аутентификацией и авторизацией.

22. Расширенное обнаружение и реагирование (Extended Detection and Response, XDR): Системы XDR предоставляют более широкий спектр обнаружения угроз и реагирования на них, объединяя данные с различных источников и платформ для более эффективного управления угрозами. 

23. Системы управления информацией и событиями безопасности (SIEM): комплексные решения для мониторинга, анализа и реагирования на события безопасности в реальном времени. Они собирают и агрегируют логи и данные с различных источников в ИТ-инфраструктуре, обеспечивая анализ и корреляцию событий для выявления угроз.

24. Автоматизация безопасности и оркестрация (Security Orchestration, Automation and Response, SOAR): Платформы SOAR интегрируют различные инструменты безопасности и автоматизируют процессы реагирования на инциденты, что ускоряет обработку угроз и снижает нагрузку на команды безопасности.

25. Системы безопасности мобильных устройств (Mobile Device Management, MDM): Инструменты для управления и защиты корпоративных данных на мобильных устройствах, включая функции удаленного стирания данных, блокировки устройств и защиты приложений.

26. Обнаружение аномалий на основе поведения (Behavioral Analytics): Системы, которые анализируют поведение пользователей и устройств в сети для выявления необычных или подозрительных действий, которые могут указывать на нарушение безопасности.

27. Сетевое обнаружение и реагирование (Network Detection and Response, NDR): Решения NDR используют алгоритмы машинного обучения для анализа сетевого трафика в реальном времени и обнаружения аномалий, что позволяет выявлять сложные угрозы, которые могут ускользнуть от традиционных систем IDS/IPS.

28. Защита приложений (Application Security): Инструменты и методы для защиты приложений от угроз, такие как веб-файерволлы приложений (WAF), защита от SQL-инъекций, кросс-сайтовых скриптинг атак и других угроз.

29. Защита контейнеров и оркестрация: В свете широкого распространения контейнеризации и использования систем оркестрации, таких как Kubernetes, важно внедрять решения для обеспечения безопасности контейнеров и управления ими, включая сканирование образов контейнеров на предмет уязвимостей и нарушений конфигураций.

30. Управление привилегированными доступами (Privileged Access Management, PAM): Решения для управления и мониторинга доступа к привилегированным аккаунтам и ресурсам, чтобы предотвратить злоупотребления и утечки данных.

31. Облачные брокеры безопасности доступа (Cloud Access Security Brokers, CASB): Посредники между пользователями облачных приложений и провайдерами облачных услуг, предоставляющие политики безопасности, соблюдение нормативных требований и защиту данных.

32. Интеллектуальная защита от DDoS-атак: Современные решения для защиты от DDoS-атак используют продвинутые алгоритмы для различения легитимного и вредоносного трафика, что позволяет эффективно противостоять даже масштабным и сложным атакам.

33. Киберстрахование: Полисы, которые предлагают финансовую защиту компаний от последствий кибератак, включая утечки данных, прерывание бизнеса и другие связанные риски.

34. Интеграция физической и информационной безопасности: Развитие подходов, которые сочетают физическую безопасность (контроль доступа в здания и на территории предприятия) и информационную безопасность, создавая единую систему управления безопасностью.

А какая у вас метапрограмма?

В нас с детства заложено определенное отношение к жизни. Философ и мистик Георгий Гурджиев считал, что в каждом человеке много Я.

В каждой ситуации жизни внутри нас запускается определенная метапрограмма, которая определяет как мы относимся к событиям и как действуем. Сегодня реакции человека изучает отдел HR, когда смотрит подходит ли человек на определенную должность: сейл, программист или руководитель. Нет плохих или хороших метапрограмм - важно, чтобы человек соответствовал должности на которой он находится.

Как узнать свою метапрограмму и чужую? Приведу примеры вопросов и ответов.

Референция к людям

Спросите: Как вы определяете, что задача выполнена успешно?

- Внешняя референция ответит: Никто не жаловался и клиент остался доволен 

- Внутренняя референция ответит: Я несколько раз сверился с заданием и уверен в точности его выполнения

- Смешанная референция тоже существует - они доверяют себе, но прислушиваются к мнению остальных.

Процесс или результат

Спросите: Как вы видите свой идеальный отпуск?

- Результативный человек ответит: много ярких и красивых фотографий в фейсбуке

- Процессник скажет: Посмотрю много красивых мест и поем вкусную еду

Процедуры или возможности

Спросите: Как вы обычно готовитесь к переговорам?

- Процедурник ответит, что существуют готовые шаблоны: узнать о партнере, подготовить доклад и тд.

- Человек возможностей ответит, что нужно посмотреть что к каждым переговорам надо готовиться по-разному.

Сходство или различие

Спросите: Ваш диплом специалиста чем-то помог в реальной работе?

- Ищущий различие человек проявится в ответе “ничем не помог”

- Ищущий сходство проявится в ответе “в чем-то да, вот такие же вещи мне потребовались там”

Те кто ищет сходство, хорошо разрешают конфликты.

Те кто ищут различия, склонны к изобретательности.

Содержание или окружение

Спросите: "Что вам больше всего понравилось на прошлой работе?"

- Окружение будет важно человеку, который говорит про коллектив, клиентов и других людей

- Содержание будет важно, если человек будет говорить про процедуры и смыслы в работе

Проблема или решение

Спросите: "Расскажите о ситуации, когда у вас возникли трудности в работе или в личной жизни. Как вы поступили?"

- Если человек начинает описание с детализации проблемы, возможно углубляясь в сложности и препятствия, это может указывать на склонность сосредотачиваться на проблемах.

- Если человек быстро переходит к описанию того, какие шаги он предпринял для решения ситуации, или какие уроки были извлечены для будущего, это показывает ориентацию на решение.

Проактивность и реактивность

Спросите: "Расскажите о последний раз, когда вы столкнулись с неожиданной проблемой или ситуацией в работе. Как вы с этим справились?"

- Проактивные люди часто упоминают о том, как они предвосхитили возможные проблемы и предприняли шаги для минимизации рисков или проблем до того, как они возникли. Они могут также рассказать о системах или стратегиях, которые они разработали для предотвращения аналогичных ситуаций в будущем.

- Реактивные люди обычно сосредоточены на описании того, как они реагировали, когда проблема уже возникла. Они могут подробно описать, как они адаптировались к ситуации или как искали решения после того, как ситуация развернулась.

Перемены или стабильность

Спросите: "Расскажите о времени, когда в вашей работе или жизни произошли значительные изменения. Как вы адаптировались к этим изменениям?"

- Склонные к переменам люди часто выражают энтузиазм или положительные эмоции по поводу изменений. Они могут описать, как активно искали новые подходы, возможности для личного роста или как быстро приспособились к новым условиям.

- Люди, предпочитающие стабильность, могут упомянуть о своих затруднениях или сопротивлении во время изменений. Они могут акцентировать внимание на том, как старались восстановить порядок или как ценили поддержку и проверенные временем методы в период адаптации.

Метапрограммы как и поведение можно заново выучить, при этом проще всего работать по тем, которые были заложены в детстве.

Текст навеяла статья тут и ChatGPT.

Входит ли в вашу метапрограмму Лайк и репост статьи? )

Зачем вашей компании SOC и Red, Blue, Purple команды: подробное руководство

В блоге в 2016 году уже писал статью по SOC и она самая популярная. Пришла пора озвучить информацию про SOC, поскольку сейчас этот формат популярен. Смотрим видеоролик:

 

Реагирование и расследование ИТ-инцидентов. Ваш пошаговый план.

 

Расследование инцидентов сегодня все больше интересует руководство компании, поскольку позволяет минимизировать глубину вторжения хакерских групп и создать для них максимальные трудности. Как это правильно делать и с чего начать? Пожалуй тут может быть несколько важных советов. Я собрал некоторые важные факты и методики в одном видеоролике.

Посмотрите:

Подробности встречи с экспертами про российские VPN шлюзы

Посмотрел ток-шоу о российских VPN шлюзах и привожу основные моменты.
На встрече прозвучало мнение Кода Безопасности, Солара, МТС и TSS.

Встречу прекрасно провел Руслан Иванов.

1. Все отметили всплеск запросов на VPN более высокого класса (КВ) из-за действия регулятора

2. Число российских разработчиков аппаратных платформ увеличилось. При этом российские разработчики не очень интересуются делать специализированные устройства для VPN и NGFW

3. Пришли снова к выводу, что VPN шлюзы никогда не будут совместимы друг с другом, пока регулятор или ТК26 их не заставит. Даже для доступа к СМЭВ нужно взять три разноцветных шлюза.

4. Есть понимание что будут VPN шлюзы на новый ГОСТ 34.12 с Кузнечиком и Магмой

03:58 Отметили использование VPN у облачных провайдеров и у телекомов. Им требуется высокая производительность и надежность.

05:08 Коммерческие компании переходят на российскую криптографию, чтобы получать нужные им сервисы

11:30 Наивно полагать что Suricata и nDPI позволят "выйти на рынок NGFW"

11:55 Сложно найти высокопроизводительное оборудование и трансиверы и добиться совместимости производителей

15:01 Появились запросы на объединение ЦОД по DCI мощными каналами (часто просят 100 Гбит/с). Там важна задержка

16:49 Требования по эксплуатации криптографии ГОСТ мешают добавить в устройство какую-то другую функциональность, например, IPS или NGFW

19:24 Заказчики не понимают, что VPN это высокая нагрузка на процессоры и думают что VPN + IPS + DPI можно включить сохранив производительность из datasheet

25:12 Можно у оператора арендовать канал с ГОСТ шифрованием и не мучаться с поиском своего оборудования и сотрудников

28:20 Импортное оборудование ждать полгода, российское оборудование ждать 2 недели

31:29 Большинство заказчиков стало требовать RMA замену оборудования Next Business Day

35:25 Найденные уязвимости в VPN шлюзах нельзя сразу исправить, потому что, если поставишь патч, то ты теряешь и сертификат и аттестацию.

44:47 VPN шлюз это про ИТ инфраструктуру, а не про безопасность. Важна пропускная способность и задержки, поэтому обязательно иметь мониторинг канала, задержек и фрагментации пакетов. Стоит посмотреть на класс продуктов DEM.

49:20 Есть много ограничений в формуляре, в частности на подключение к виртуализации и разрешению на вывод за границу - смотрите в него.

50:43 VPN шлюзы имеют множество юридических и таможенных проблем с ввозом в страну и с вывозом из страны. Как по российскому законодательству, так и по местному законодательству. Сломанное оборудование вообще невозможно вернуть обратно.

56:02 Организация DCI: L2 канал на MPLS, темная оптика, растягивать L2 - боль, инкапсулировать L2 в L3 - тоже боль.

58:06 TSS: аппаратная реализация шифрования дает задержку 10 мкс и это вообще незаметно для сети. Также уже есть 100 Гбит/с оборудование.

59:55 Всегда учитывайте условия измерений: размер пакетов (маленькие пакеты снижают производительность), размер фреймов (jumbo frame могут повысить производительность)

01:04:53 Для NGFW есть методология измерения производительности у NetSecOpen и RFC 9411. Паша назвал RFC 2544, но я несогласен - это документ 1999 года, когда NGFW еще не было на рынке.

01:07:28 Важно понимать, что будет разная производительность у разных ГОСТ 34.12-2018 (Кузнечик RFC 7801 и Магма RFC 8891), 34.13 и 28147-89 ведь там разные ключи 128 и 256 бит

01:15:40 Квантовая криптография просто использует криптографические ключи большой длины, допустим 760 бит. И это упирается в производительность железа.

01:19:53 Сертификаты у VPN шлюзов: СКЗИ от ФСБ, от ФСТЭК на МСЭ А и Б, и есть еще сертификат как СОВ от ФСТЭК и СОА от ФСБ и есть новый от ФСТЭК на NGFW где еще требуется защита от НСД. Вообще почему-то забыли сертификацию по уровню доверия и по ТУ.

01:23:20 Как управлять МСЭ без сертифицированного ФСБ защищенного канала? Надо ли получать сертификат СКЗИ в ФСБ в случае работы TLS расшифрования в NGFW и WAF и балансировщиках? Балансирощик, NGFW, WAF должен быть криптошлюзом.

01:30:52 В трансиверах SFP есть маленький компьютер в самом интерфейсе и его можно сертифицировать как СКЗИ в ФСБ. Но они не входят в ТОРП Минторга и шансов туда внести - нет.

01:37:00 У одного заказчика стоит 40 VPN шлюзов в двух стойках для обслуживания широкого канала.

01:39:12 Active-Active кластера хороши только на бумаге, в реальной жизни это боль. Лучше взять высокопроизводительный Active-Passive.

01:40:24 Интересный кейс: пакет роняет криптошлюз, трафик переходит на второй и этот же пакет роняет и второй критошлюз.

01:41:24 Илья Тимофеев: несовместимость криптошлюзов - доколе?

01:55:02 Для подключения к СМЭВ нужно три разноцветных шлюза

01:57:26 Пункт управления под Linux

01:58:02 TSS управляется через любой браузер. Здесь у меня конечно вопросы про сертификацию ФСБ этого браузера и операционной системы как СКЗИ для TLS.

01:58:36 Дальше слушать страшно: распределение ключей через УЦ на Windows - что?! ) По букве закона все ключи должны локально на флешке загружаться в каждый СКЗИ - это очень неудобно. КВ требует ключевого блокнота, который нужно официальным письмом заказывать! Нет официального документа описывающего как работать с ключевой информацией.

02:06:40 Результат опроса по тому что нужно улучшать в криптошлюзах.

02:08:08 Прогноз от Павла Коростелева

02:10:30 Прогноз от Ильи Шарапова

02:13:19 Прогноз от Александра Веселова

02:16:25 Прогноз от Виталия Медведева

02:17:32 Чипы для АСУТП с криптографией и защитой приборов учета

02:19:00 Мнение зрителей об отечественных VPN (опрос)

Запись

Опросы