Реальная безопасность
персональный блог Батранкова Дениса
понедельник, 23 января 2023 г.
19 способов проникновения в сети и 117 способов это обнаружить
четверг, 29 декабря 2022 г.
Защита множества заказчиков - мой результат года
Вот такие вопросы были:
- Где лучше расположить PT NAD архитектурно?
- В чем преимущество PT NAD перед SIEM?
- В чем отличие PT NAD от IDS?
- Каким образом может анализировать зашифрованный трафик?
- Как реагирует PT NAD на майнинг в сети?
- Какие сделаны оптимизации в продукте для уменьшения требований к железу?
- Поменялась ли архитектура на контейнерную?
- Появилась ли кнопка "распечатать для начальника" в ленте активности?
- Можно ли установить захват трафика на виртуализацию?
- Как PT NAD отправляет файлы в песочницу?
- Почему интеграция с песочницей Позитива более эффективна?
- Какие сигнатуры используются для обнаружения DC Sync и DC Shadow?
- Можно ли использовать правила yara?
А вот тут ответы:
https://youtu.be/G4o6DtoD9hc?t=4124
Вообще в программе трансляции было:
- Как мы понимаем задачи Network Traffic Analysis. Зачем нужны системы NTA
- Какие задачи помогает решить система анализа трафика PT NAD
- Почему заказчики выбирают PT NAD: цели, кейсы, результаты
- PT NAD 11. Новые возможности
Всем счастливого нового года!
Полный функционал
среда, 26 октября 2022 г.
Какие проблемы видны в вашем сетевом трафике?
Сначала дали интервью в Ведомости, а потом записали видеоролик! В любом формате мы приглашаем тебя дорогой друг 27 октября в 14:00 на запуск новой версии PT Networks Attack Discovery 11.
А в чем проблема? Посмотрите пожалуйста!
воскресенье, 2 октября 2022 г.
NGFW это UTM, который не умирает

суббота, 6 августа 2022 г.
PT Network Attack Discovery лучше всего подключать через физический TAP или virtual TAP в VmWare и KVM
Когда вы делаете пилот или внедрение Positive Technologies Network Attack Discovery, то нужно передать копию трафика в это многофункциональное устройство сетевой безопасности для анализа движками DPI, IDS, ML, TI, NTA и последующего анализа и отправки файлов из трафика в песочницу и антивирус, чтобы обнаружить направленные на вас атаки и взломанные хосты.
- зеркальный или SPAN порт свитча или роутера
- RSPAN/ERSPAN - тоже зеркальный порт, но трафик передается аж с других свитчей через выделенный VLAN для Remote SPAN или вообще через GRE для ERSPAN.Если это среда виртуализации, то варианты получения трафика из гипервизора:
- promiscous mode порт в distributed switch на котором подключается виртуальный NAD и все мы понимаем, что виртуальная машина все-таки работает медленнее, чем внешний аппаратный PT NAD
- SPAN порт на свитче, на котором работают различные сервера с виртуализацией, и тогда мы не видим внутренний трафик внутри гипервизора каждой системы виртуализации, но зато мы видим трафик идущий внутри VXLAN или GENEVE
- ERSPAN, то есть также мы инкапсулируем внутри гипервизора наш трафик внутрь туннеля GRE и отдаем в NAD снаружи сервера
monitor session 1 source interface gi0/1
monitor session 1 destination interface gi0/2
Подробнее про то, как пользовать NAD, посмотрите в сборнике информации https://telegra.ph/Materialy-po-produktu-PT-NAD-07-08
Любой вопрос по PT NAD вы можете задать в чате Телеграмм https://t.me/PTNADChat
понедельник, 1 августа 2022 г.
Самые частые способы обхода двухфакторной аутентификации
Выключение двухфакторной аутентификации
Явный обход MFA
Эксплуатация разрешенных исключений
Кража сертификата подписи SAML
Переиспользование авторизованной сессии
Вывод
четверг, 26 мая 2022 г.
Advanced Persistent Threat - это про искусство нападения и защиты
- Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
- Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
- Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.
воскресенье, 22 мая 2022 г.
Часто используемые хакерами уязвимости 2021 года
На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.
В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.
Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.
CVE | В каком ПО обнаружена | Название уязвимости | Тип уязвимости | Базовая оценка CVSS |
---|---|---|---|---|
CVE-2021-27101 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27103 | Accellion FTA | Подделка запроса на стороне сервера | 9,8 | |
CVE-2021-27104 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27102 | Accellion FTA | Remote code execution (RCE) | 7,8 | |
CVE-2021-26855 | Сервер Microsoft Exchange | ProxyLogon | Подделка запроса на стороне сервера | 9,8 |
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 | Сервер Microsoft Exchange | ProxyLogon | Remote code execution (RCE) | 7,8 |
CVE-2021-44228 | Библиотека Apache Log4j2 | Remote code execution (RCE) | 10,0 | |
CVE-2021-28799 | QNAP NAS | Remote code execution (RCE) | 9,8 | |
CVE-2021-34527 | Диспетчер печати Windows | PrintNightmare | Remote code execution (RCE) | 8,8 |
CVE-2021-34473 | Сервер Microsoft Exchange | ProxyShell | Remote code execution (RCE) | 9,8 |
CVE-2021-34523 | Сервер Microsoft Exchange | ProxyShell | Повышение привилегий | 9,8 |
CVE-2021-31207 | Сервер Microsoft Exchange | ProxyShell | Обход аутентификации | 7,2 |
CVE-2021-40444 | Модуль MSHTML в Internet Explorer | Remote code execution (RCE) | 7,8 | |
CVE-2021-21972 | VMware | (обнаружена экспертом Positive Technologies Михаилом Ключниковым) | Remote code execution (RCE) | 9,8 |
Для сравнения мировые организации Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях
CVE | В каком ПО обнаружена | Vulnerability Name | Type |
Apache Log4j | Log4Shell | Remote code execution (RCE) | |
Zoho ManageEngine AD SelfService Plus | RCE | ||
Microsoft Exchange Server | ProxyShell | Elevation of privilege | |
Microsoft Exchange Server | ProxyShell | RCE | |
Microsoft Exchange Server | ProxyShell | Security feature bypass | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Atlassian Confluence Server and Data Center | Arbitrary code execution | ||
VMware vSphere Client | RCE | ||
Microsoft Netlogon Remote Protocol (MS-NRPC) | ZeroLogon | Elevation of privilege | |
Microsoft Exchange Server | RCE | ||
Pulse Secure Pulse Connect Secure | Arbitrary file reading | ||
Fortinet FortiOS and FortiProxy | Path traversal |
CVE | Vendor and Product | Type |
Sitecore XP | RCE | |
ForgeRock OpenAM server | RCE | |
Accellion FTA | OS command execution | |
Accellion FTA | Server-side request forgery | |
Accellion FTA | OS command execution | |
Accellion FTA | SQL injection | |
VMware vCenter Server | RCE | |
SonicWall Secure Mobile Access (SMA) | RCE | |
Microsoft MSHTML | RCE | |
Microsoft Windows Print Spooler | RCE | |
Sudo | Privilege escalation | |
Checkbox Survey | Remote arbitrary code execution | |
Pulse Secure Pulse Connect Secure | Remote arbitrary code execution | |
SonicWall SSLVPN SMA100 | Improper SQL command neutralization, allowing for credential access | |
Windows Print Spooler | RCE | |
QNAP QTS and QuTS hero | Remote arbitrary code execution | |
Citrix Application Delivery Controller (ADC) and Gateway | Arbitrary code execution | |
Code execution | ||
Cisco IOS Software and IOS XE Software | Remote arbitrary code execution | |
Microsoft Office | RCE | |
Microsoft Office | RCE |
Также рекомендую посмотреть отчет какие решения используют компании.
Оцените свою внешнюю поверхность атаки
Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения
Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.
По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно.
Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye
Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.
И естественно вы можете это делать сами сканером безопасности.
Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.
И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.