вторник, 27 апреля 2021 г.

Конференция: как обойти межсетевой экран и как автоматизировать первую линию SOC

Присоединяйтесь к конференции Palo Alto Networks Digital Day 28 апреля в 11 утра. Мероприятие традиционно пройдет в онлайн-формате.


Программа:
o 11:00 – 11:10 - Открытие конференции
o 11:10 – 11:30 - Как обходят межсетевые экраны
o 11:30 – 11:50 - Что появилось нового в сетевой защите
o 12:00 – 12:20 - Как автоматизировать первую линию SOC
o 12:20 – 12:35 - Мнение заказчика и опытный взгляд от SOC эксперта
o 12:35 – 13:05 - Кто должен отвечать за безопасность DevOps
o 13:05 – 13:30 - От NGFW к NG SD-WAN. Почему Network SLA плохо работает и что с этим делать
o 13:25 - 14:00 - QUIZ с призами
Подробная информация о мероприятии и регистрация доступны по ссылке

суббота, 24 апреля 2021 г.

Блокирует ли ваша периметровая защита exe файлы?

Сейчас актуальна тема защиты от криптолокеров. Когда злонамеренный скрипт попадает в сеть, то ему нужно докачать остальную часть вредоносного кода. Обычно это исполняемый файл, например EXE. Злоумышленники используют различные методики сокрытия этого, например, в данной статье, вредоносный скрипт скачивает exe файл, который переименован в TXT. Но на самом деле внутри исполняемый модуль. А что в этот момент делала ваша сетевая защита?

Ваш периметровый NGFW защиты должен 

  1. Журналировать все скачиваемые файлы по всем приложениям и по любым портам.
  2. Определять тип файла не по названию, а по реальному контенту.
  3. Блокировать исполняемые файлы (например, это EXE в Windows) для всех сотрудников и всех устройств, включая IoT, IIoT. 
  4. Для определенных сотрудников разрешать скачивание, но задав предварительно вопрос. 
Давайте посмотрим как это делается на примере журнала Data Filtering и настроек профиля безопасности File Blocking в NGFW.

Эволюция защиты от криптолокеров

Тема защиты от криптолокеров более комплексна и нужно не только контролировать типы файлов. Посмотрите вебинар про основные меры, которые нужно делать для защиты.

Также приглашаю вас на конференцию 28 апреля, где мы обсудим как обходят межсетевые экраны.

Вся программа:

o   11:00 – 11:10 - Открытие конференции

o   11:10 – 11:30 - Как обходят межсетевые экраны

o   11:30 – 11:50 - Что появилось нового в сетевой защите

o   12:00 – 12:20 - Как автоматизировать первую линию SOC

o   12:20 – 12:35 - Опытный взгляд от SOC эксперта

o   12:35 – 13:05 - Кто должен отвечать за безопасность DevOps?

o   13:05 – 13:30 - От NGFW к NG SD-WAN. Почему Network SLA плохо работает и что с этим делать?

o   13:25 - 14:00 - QUIZ с призами

РЕГИСТРАЦИЯ

вторник, 20 апреля 2021 г.

Что делать если злоумышленник обошел все средства защиты?


     В практике ИБ специалистов есть два термина, которые вызывают холивар при их совмещении друг с другом: направленная атака и APT-атака. Advanced Persistent Threat (APT) это вообще-то угроза и как будут атаковать в случае этой угрозы неясно. На прошедшей конференции по направленным атакам: мы сразу решили сфокусироваться на одной задаче, то есть мы обсуждали все атаки, где злоумышленник хочет как можно дольше остаться незамеченным, плюс он хочет быть именно в этой компании или группе компаний. То есть тогда эту атаку считаем направленной.
     Часто возникает вопрос у бизнеса: можно ли защититься на 100%. Нет, если к вам хотят проникнуть, то проникнут. Судя по отчетам пентестеров, попасть в организацию можно всегда. А как это происходит? В зависимости от индустрии или страны вас будут атаковать по-разному. Мы пришли к выводу, что защищать нужно не все подряд, а только важные ресурсы: устройства-топ менеджеров, внутренние базы данных, интеллектуальную собственность компании, устройства, которые отвечают за непрерывность бизнеса. 
     Если проникнуть в сеть сравнительно легко, то вот остаться незамеченным внутри компании злоумышленнику уже сложно и обнаружение злонамеренных действий внутри компании - это основная задача ваших безопасников. Нужно, чтобы ваши сотрудники нашли и блокировали любого злоумышленника до того как он извлечет выгоду или нанесет ущерб вашей организации. Причем злоумышленником может быть собственный сотрудник. 
     Я задавал вопросы представителям крупных SOC в стране, интеграторам и вендорам средств защиты от APT. И они говорят,  что обычные атаки отбивают антивирусы и IPS. Как защиту от APT позиционируют уже файловые песочницы и хостовую и аналитическую платформу разбора инцидентов EDR и XDR, системы защиты от почтового фишинга и аномальные системы NTA и UEBA.

Чтобы защититься нужно понимать кто, как, почему атакует.

  Недостатком современной ИТ инфраструктуры стало то, что можно зайти в каждую компанию, что подтвердили в своем отчете пентестеры Positive Technologies. На данном мероприятии под атакующими мы понимали очень продвинутых людей (то есть всегда в обсуждении считали, что защищаемся от Advanced атакующих - это первая буква в термине APT). Направляют такие атаки обычно не на одну компанию, а на весь сектор или индустрию.
Коллеги назвали списком следующие способы проникновения:
  • фишинг в виде специально созданных писем с вредоносными вложениями или ссылками на них;
  • атака сначала личной почты, которая менее защищена, но которую тоже проверяют на работе;
  • заражение через партнеров, которые хуже защищены: сначала заражают их сеть, а потом уже заходят в вашу;
  • использование уязвимостей, которые есть в процессорах и приложениях: браузерах, почтовых программах, VPN шлюзах и также в устройствах IoT;
  • социальная инженерия в виде добавления своего номера счета в середине переписки между людьми или просьба дать доступ или даже сказать пароль;
  • социальная инженерия в виде "помощи" на форуме, когда человеку присылают вредоносный код вместе с какой-то нужной утилитой;
  • атака на цепочку поставок в виде закладок BIOS/UEFI или в аппаратную часть или в библиотеку самого производителя;
  • URL ссылки в виде QR кодов или просто написанные на открытках и визитках или других "подарках";
  • взлом домашней сети и домашнего компьютера.

Пример: производитель программных продуктов для управления сетью SolarWinds поставлял закладки своим заказчикам, сам не зная этого (Источник: https://safebdv.blogspot.com/2020/12/solarigate.html)

Пример: хакер впаял жучок на плату Cisco ASA (Источник: https://habr.com/ru/news/t/471398/)



Мы также обсудили с какой целью проводятся атаки:
- спецслужбы государств занимаются шпионажем;
- промышленный шпионаж против конкурентов;
- финансовая выгода в виде выкупа за восстановление доступа к своим же системам и файлам;
- часто взломщики пытаются перепродать доступ в вашу компанию и поэтому обязательно нужно мониторить форумы.

Для перемещения внутри компании используют утилиты mimikatz или hashdump для повышения привилегий. И это тоже нужно контролировать. Это делают продукты класса EDR и XDR.

Есть два подхода к оценке взломана ли компания

Если вы живете с мыслью об APT, то в вашей компании должен быть процесс под названием Threat Hunting или вы можете заказывать периодически сервис под названием Compromise Assesment. Однако не каждая организация может себе позволить поскольку требуются достаточно дорогие специалисты. Исследователи исходят из предположения, что вы уже взломаны. Такие люди постоянно ищут у вас признаки взломов. Обычно для этого используются различные типы индикаторов, которые упоминаются в литературе как тактики, техники и процедуры (TTP). Периодически рекомендуется большим организациям оценить наличие TTP различных группировок. Основным сборником техник атак является портал https://attack.mitre.org/.
И второй подход под названием Red Team - вы собираете утилиты и техники, которые используют группировки и задача людей проверить возможны ли эти тактики в вашей организации и как вы от них защищаетесь. Полную видеопрезентацию по TTP и Red Team и ATT&CK MITRE можно посмотреть ниже: 


Также специалисты по безопасности обсуждают всегда необходимость тестов на проникновение, аудитов безопасности и киберучения. Это важно, поскольку каждое такое мероприятие позволяет подготовить ваших сотрудников к реальной кибератаке.

Важным аспектом является борьба с инсайдерами. На самом деле любой хакер, попавший в сеть - инсайдер. Ведь он работает от имени какого-то сотрудника.

Что нужно защищать

Если вы пересматриваете свою стратегию кибербезопасности, а это нужно делать каждый год, то обратите внимание на
  • личную почту сотрудника и как она защищена: прочитайте ему курс по защите личной почты;
  • компанию партнера и как они защищены: выставите им требования по защите;
  • сложность проникновения к важным ресурсам: удлините злоумышленнику kill chain чтобы Time to Detect и Time to Response было как можно быстрыми;
  • ошибки конфигурации: проверяйте, что собственные сотрудники не ошиблись в настройке защиты самих себя и средств защиты компании.
Хороший  своевременный детектор атак это продукты класса XDR, песочницы, NDR/NTA/UEBA. 

Пример: В Microsoft Exchange Server обнаружена уязвимость, позволяющая получить к серверу полный доступ. Если у вас стоит XDR, то обычный анализ того, что почтовый сервер exchange запускает новый процесс - этим продуктом ловится мгновенно. 

Однако, самое важное, чтобы у вас была дежурная смена, которая круглосуточно читает оповещения средств защиты. Купить средство защиты недостаточно - в него надо еще кому-то смотреть и реагировать.

Именно поэтому на мероприятии мы обсудили что делать с персоналом - повышение компетенций важно. Поэтому обучайте и администраторов и обычных сотрудников. Для этого сейчас есть много проектов и мероприятий класса Awareness. 

Неожиданно при обсуждении выявилось, что сейчас с удаленкой открылось много проектов по контролю рабочего времени. 

Что делать если у вас атака уже произошла: что-то невидимое где-то внутри что-то делает. Первый шаг?

Первый шаг самый простой: вы должны понять откуда впервые пришло сообщение о взломе и с этой отправной точки расследовать ситуацию дальше. Ваша первая задача: заблокировать распространение угрозы по сети. И к этому нужно готовиться.
Часто бывает, что компания, в которой 10000 сотрудников может три дня искать зараженный компьютер, чтобы отключить его. Во время киберучений поставьте такую задачу своим сотрудникам, чтобы сократить время поиска в случае реальной атаки. Вы должны быть готовы к этому и ваши сотрудники должны уметь искать компьютеры в своей сети. Для этого должны быть подготовлены какие-то утилиты и сотрудники должны знать их названия и как ими пользоваться.
По хорошему есть специальные курсы по работе с инцидентами. Также вы можете прочитать несколько документов по этой теме

Какие выбирать продукты для защиты от APT

На мероприятии мы обсудили, что хакеры в курсе про все продукты и они обладают достаточным опытом по обходу защиты. 

Пример: Эдвард Сноуден на портале Wikileaks опубликовал документы ЦРУ по техникам обхода защиты, это огромная база данных под названием Vault 7. И число продуктов по безопасности, которые они умеют обходить впечатляет.
Источник: https://wikileaks.org/ciav7p1/cms/index.html

Если говорить про вредоносный код, то обычно сотруднику присылают ссылку и когда он на нее кликает, то ему присылают сам файл. Причем данный вредоносный код по ссылке отдают только в определенную страну. Когда код скачали и запустили, то он выполняет вредоносные функции при наличии определенного софта на машине, или при наличии определенных файлов или при попадании на компьютер определенного человека, например, главного конструктора компании.

Поэтому песочницу нужно качественно настроить, чтобы подстроить ее среду на основе реальных данных от локальных машин. Российские песочницы могут поддерживать отечественные операционные системы, которые тоже под угрозой.

И одно важное заключение мы сделали не конференции: не нужно все защищать - нужно защищать конкретных людей и конкретные ресурсы.

Часто APT группировка не переживает, что их заметили: они хранят свои следы и не переживают, что их утилиты кто-то увидит.

Самое лучшее для компании и руководства - проводить киберучения, где смотреть готовность самих себя и различных служб реагировать на различные ситуации и пользоваться имеющимися ресурсами и продуктами.

Полное видео

среда, 14 апреля 2021 г.

Вебинар: как заниматься безопасностью и не конфликтовать с уголовным кодексом

Существует зыбкая граница между занятием безопасностью и взломами. Наши познания в уголовном кодексе обычно слишком малы, а познания оперативников в ИБ еще меньше. И они могут не так воспринять наличие metasploit на вашем компьютере, как вы ожидали. У нас в гостях в эту пятницу Евгений Царев, эксперт по судебным разбирательствам в нашей стране и мы планируем с ним обсудить насколько легитимно использовать DLP, какие трудности есть в судах и куда обращаться если вас взломали. Это редкая возможность узнать столько информации от эксперта отрасли. Приходите 16 апреля в 12:00 на мой канал на youtube и на анонсы в каналe телеграмм.
Ссылка для подключения к вебинару


понедельник, 5 апреля 2021 г.

А что делать, если вы знаете кто вас атакует?

Существуют компании, которые постоянно под атакой. То есть они та самая лакомая цель. И они про это в курсе и здесь роль безопасника именно в реальной защите, а не в перекладывании бумажек. Причем, бывает, что вы даже знаете кто вас атакует: конкуренты или соседние государства. Эти люди даже пишут в своем блоге об успешной атаке на вас. А когда это те самые избранные государства, о которых нельзя говорить и которым все можно, то вспомните как подозрительно промолчали все по поводу того, кто же взломал Лабораторию Касперского при помощи Duqu2.
И какой подход в этом случае применять, когда вы знаете что вас атакуют и даже знаете кто? Такая конференция совершенно необходима и мы ее организовали.
Подключайтесь 7 апреля в 11 утра на онлайн выступление экспертов по целенаправленным атакам. Я его модерирую. Регистрация тут.

вторник, 30 марта 2021 г.

Приложения и пользователи - это новые критерии для правил NGFW. Протестируйте как они работают!

Самый частый мой проект: NGFW. Да, я участвуют в настройке XSOAR (очень крутая штука), часто помогаю разобраться с XDR (модный и реально полезный продукт для защиты рабочих станций от взломов и разбора инцидентов) и даже вижу как работают коллеги с MDR (сервис такой). 

Что я вижу: часто при выборе устройства все-в-одном, будущие пользователи тестируют не новые фичи,  а то, что они знают. Ну то есть сетевики - просят показать им маршрутизацию и VLANы c LACP и самые продвинутые просят HA потестить. Безопасники - просят показать IPS и интеграцию с DLP. 

Новинки, которые реально есть в NGFW: визуализация кто что делает, удобство написания правил по приложениям L7, удобство разграничения доступа по группам пользователей - это почему-то всегда уходит из рассмотрения и начинает тестировать лишь только после покупки. Причина - эти функции люди узнают уже на курсах. Это реально сложный функционал, который не только сложно понять, но и стремно начать включать: а вдруг это не работает! И это правда: оно часто не работает! И именно это и надо проверять, но _до_ приобретения, а не после. В принципе я работают над этим и занимаюсь просветительской деятельностью: мы проводим практические работы, которые красиво называются тест драйв, мы просто читаем лекции, и вообще я записываю различные видосы. Вот еще один видеоролик запилил просветительский. ) Как вам? )

вторник, 23 марта 2021 г.

Публично доступные песочницы для проверки zero-day

Современные атакующие редко используют старые виды вредоносного кода для атак. Под каждого человека создается свой собственный вирус. То есть, если идет направленная атака на ваших топ-менеджеров или бухгалтеров или администраторов, то каждому пришлют его личную версию вредоносного кода по электронной почте. Да, вот такой вот персональный подход!

Бывает, что присылают ссылку в письме или в форуме: ссылка на файл одна и та же, но каждый раз кликая на эту ссылку, сайт генерирует каждому зашедшему свою модификацию файла. 

Это создает сложности для производителей антивирусов: в их базах этого экземпляра нет и нужно как-то этот каждый новый пришедший в компанию файл проверить. Для этого создаются специальные автоматические механизмы проверки. Раньше на слуху был эвристический анализ, в 2020 году новинкой стало то, что продвинутые производители используют модели полученные от Machine Learning для определения вредоносного кода внутри NGFW прямо на лету. Также ML активно применяется для обнаружения фишинговых URL и вредоносных DNS доменов и даже устройств IoT.  

Однако, в современных организациях уже около 10 лет основным средством выявления новых и неизвестных видов вредоносного кода является технология под названием песочница или по-английски sandbox. Обычно это облачный сервис, который получает каким-то образом ваш файл на проверку и в ответ возвращает вердикт: хороший или вредоносный. Песочницам нужно нужно несколько минут, чтобы проверить файл, потому что они реально запускают его, если это исполняемый файл и реально просматривают его, если это документ. Если во время работы с файлом, будут замечены какие-то вредоносные действия, то файл будет помечен как вредоносный и этот вердикт, вместе со всеми "анализами" его работы будет вами получен.

Иногда открытием для людей является то, что вредоносный код может быть встроен в неисполняемые файлы DOC, PDF, XLS. Поскольку это частое заблуждение, то его активно используют хакеры. Поэтому нужно также проверять в песочницах неисполняемые файлы. Эти файлы внутри себя песочницы загружают в соответствующие программы просмотра Microsoft Word или Adobe Reader разных версий и проверяют не происходит ли при этом вредоносных действий. Обычно это связано с докачкой другого кода или использованием уязвимостей программ-просмотрщиков, что позволяет запустить произвольные команды. Хорошим примером является Microsoft Word - его файлы часто используют в атаках.

Что не хватает современным песочницам, на мой взгляд, так это информирования пользователей о популярных программах. Часто на проверку уходит уже известная утилита, и песочницы могли бы не только возвращать вердикт, что это хороший файл, но и что это именно эта утилита. Такая информация часто нужна администратору.

Можно ли попробовать такую песочницу сейчас? Да, есть общедоступные сайты, где вы можете свой файл попросить проверить. 

https://www.virustotal.com/

Самым известным сервисом проверки является virustotal.com. Он позволяет также проверить информацию по URL и также позволяет делать поиск по IP, DNS и также хешу файла. Песочницы обычно совмещены с антивирусом: сначала механизм анализа проверяет файл на наличие сигнатуры или хеша в базе и, если в базе данных, про этот файл нет информации, то он отправляется на проверку в песочницу. Песочница чаще всего - это виртуальная машина, в которой файл запускается или просматривается. И в процессе работы идет анализ поведения: какие файлы создаются, какие подключения осуществляются и т.д. и затем на основе поведенческого анализа принимается решение ведет ли себя этот файл вредоносно. Например, если он начал зашифровывать файлы, то такое поведение вредоносное и мы помечаем файл как криптолокер.

Для проверки я выбрал хороший файл putty.exe, который я скачал с сайта разработчика

Видно, что часть движков считает этот исполняемый файл вредоносным! Почему так? Потому что у песочниц есть один минус: они дают ложные срабатывания. И как быть вам? Обычно, если уважаемые вами производители говорят, что это хороший файл, то им стоит доверять. Если какой-то неизвестный вам поставщик говорит, что это вредоносное поведение, то стоит это сообщение проигнорировать. Как в примере ниже.


Если все движки сказали, что все ок, то с большой вероятностью все ок. Но есть нюансы. ) Существуют специальные методики обнаружения что ты запущен в песочнице, поэтому не всегда такой метод анализа как запуск внутри виртуальной машины - достоверен. Лучше всего запускать вредоносный код на реальной рабочей станции и результат будет более точным. Такая методика получила название bare metal analysis и предоставляется некоторыми мировыми производителями.

Есть еще один вид песочниц: локальные. Они выглядят как обычный сервер, на котором стоят виртуальные машины. Внутри них и запускаются тестируемые образцы и анализируется их поведение. Часто встречаю заблуждение, что локальная и облачная песочница имеют одинаковый функционал. Это ошибочно, потому что облачные решения всегда имеют больше функций и возможностей, например, вышеупомянутый bare metal analysis. Именно поэтому детектирование вредоносного кода в облаке более точное, чем детектирование вредоносного кода на локальной песочнице. Если вы правда хотите искать zero day в своей компании, то использование только локальных песочниц - недостаточно.

https://virustest.gov.ru/

Недавно открылся наш национальный сервис проверки, который предоставляется также бесплатно.

Я также загрузил в него тестовый файл putty.exe и меня удивило, только, что песочницы запустились. Загружал несколько раз этот файл и несмотря на то, что файл каждый раз одинаковы песочницы запускались снова и снова. Хотя смысла проверять один и тот же файл уже не было.

В государственном сканере используются движки трех (на дату написания статьи 23 марта 2021) наших российских производителей песочниц.

по прошествии времени тестирование было завершено. и тут с putty все ок.

Также этот сервис бесплатен и вы можете проверить свой файл и на сайте Касперского.

https://opentip.kaspersky.com/

Он называется Threat Intelligence Portal, что означает вы можете не только проверять файлы, но и получать информацию об индикаторах компрометации, таких как IP, DNS, URL, хеш на данном портале. Обычно такие данные нужны при расследовании инцидентов.


Также важно упомянуть песочницы корпоративного уровня компаний Palo Alto Networks, Trend Micro, Check Point, FireEye.

https://wildfire.paloaltonetworks.com/

Например, можно пользоваться песочницей Wildfire компании Palo Alto Networks. Единственно тонкостью - вы должны быть заказчиком, то есть у вас должен быть логин и пароль для входа.
И тогда вам доступен этот портал. Но существует lifehack - движок анализа Palo Alto Networks используется на virustotal.com, там компания предоставила свой движок анализа exe файлов.


Здесь песочница не стала запускать putty.exe, просто сказала, что файл известный и понятный и хороший.

Типы файлов

Важно также какие типы файлов проверяет песочница. Вредоносный код есть для всех операционных системах Windows, MacOS, Linux, iOS, Android и так далее. В них исполняемые файлы имеют разный формат. Неисполняемые файлы обычно не зависят от операционной системы и они проверяются обычно на базе Windows и приложений под Windows, поскольку это самая популярная операционная система в мире.

А как забирать файлы на проверку

Тот способ, что использовали мы - ручная загрузка на сайт. Однако в реальных корпоративных сетях это нужно делать быстрее и автоматически. Соответственно должен быть какой-то механизм, который забирает файлы с рабочих станций или прямо из сетевого трафика и отправляет на проверку. Об этом будет другая статья.

Если вам нужна консультация по информационной безопасности - пишите denis@batrankov.ru. 

Я уже более 25 лет помогаю людям и компаниям строить архитектуру безопасности и выбирать нужные решения.


среда, 10 марта 2021 г.

В Palo Alto Networks NGFW добавили поддержку Unified Messaging Application Services (UMAS) который обычно связан с Schneider Electric Programmable Logic Controller (PLC)

Palo Alto Networks NGFW активно применяется для защиты сетей ICS/SCADA электроэнергетики, нефтяной и газовой промышленности и многих других предприятий и организаций. Проверенная временем надежность и удобство единого управления - то что нужно таким сетям. Возможность определять тип приложения и даже тип устройства по трафику является ключевой функцией NGFW и активно применяется для написания политик доступа и снижения поверхности атаки на предприятиях. Поэтому функционал APP-ID, который используется для этого постоянно развивается.


В Palo Alto Networks NGFW добавили поддержку Unified Messaging Application Services (UMAS) который обычно связан с Schneider Electric Programmable Logic Controller (PLC)

  • umas-base
  • umas-init-comm 
  • umas-plc-reservation-take 
  • umas-plc-reservation-release
  • umas-memory-block-read
  • umas-memory-block-write
  • umas-variables-read 
  • umas-variables-write 
  • umas-coils-registers-read
  • umas-coils-registers-write
  • umas-initialize-upload 
  • umas-upload-block
  • umas-initialize-download 
  • umas-download-block
  • umas-sd-backup-make
  • umas-sd-backup-restore 
  • umas-sd-backup-remove 
  • umas-plc-start 
  • umas-plc-stop 
  • umas-repeat-request
  • umas-monitor-bits-read 
  • umas-monitor-bits-write
  • umas-monitor-words-read 
  • umas-monitor-words-write
  • umas-io-object-write 

воскресенье, 28 февраля 2021 г.

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE) это NaaS + SecaaS

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE)

Ваши сотрудники подключаются через сеть Интернет и к ресурсам компании и вообще к любому сервису в мире? Как вы их защищаете от угроз? Вы включаете различные функции фильтрации трафика, такие как CASB, NGFW, SWG и оптимизируете маршруты с SD-WAN. 

Когда сотрудник находится внутри офиса, как в крепости, то вам помогает периметровая защита, а когда сотрудники уезжают в другую страну, то возникают задержки, если ему нужно подключаться в офис для получения всех функций защиты. Как переместить периметр защиты ближе к сотруднику, чтобы минимизировать задержки? 

Есть два варианта защиты удаленных филиалов и мобильных сотрудников:

1. Реализация сетевых функций и функций безопасности  может выглядеть как набор железа и софта у вас в офисах или прямо дома у сотрудника. И это ваш CAPEX. 

2. Использование безопасности и сетевых услуг из облака по подписке. И это уже OPEX. Обычно такие сервисы упоминаются на безопасность как сервис - Security as a Service (SecaaS) и сеть как сервис - Network as a Service (NaaS). Gartner именно так определил SASE в 2019 году - это NaaS + SecaaS.

Среди основных функций, которые Gartner упоминает внутри SASE это Zero Trust Networks Access (ZTNA), CASB и SD-WAN. То есть это не одна услуга, а набор услуг из облака, которыми вы можете управлять.

80% SASE продается через MSS интернет провайдеров, таких как British, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS услуги. Плюсом для вас является то, что они сами управляют этим сервисом. Вы можете купить SASE у различных производителей независимо от провайдера, и тогда уже вы сами будете управлять этим сервисом. Например, у Palo Alto Networks этот сервисный продукт по защите ваших мобильных сотрудников и филиалов предоставляется через набор продуктов Prisma Access, Prisma Cloud, Prisma SaaS и Prisma SD-WAN, в зависимости от ваших задач.

Прелесть SASE
  • авто-масштабирование: теперь облако само тебе масштабирует производительность системы защиты;
  • гарантия производительности: теперь не надо мучаться с выбором модели с нужной производительностью, даже если ты включил все функции включая SSL Decrypt и все сигнатуры, то защита предоставляется на заданной скорости;
  • минимальные задержки: облачные сервисы теперь работают с минимальными задержками, из-за наличия средств оптимизации маршрутов трафика внутри SASE;
  • доступность во всех странах: сервис Prisma Access, например, реализован из 100 стран сразу и поэтому для международных компаний это находка;
  • скорость развертывания: теперь не нужно ждать покупки, доставки и настройки устройства - можно сразу подключить ВСЕ офисы во ВСЕХ странах;
  • IoT устройства можно защитить через SASE.
Комментарии по SASE и как это выглядит для клиента

Что означает Zero Trust Network Access (ZTNA)

Основным отличием защищенного удаленного доступа является наличие ZTNA.
Сравните
1. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Любой хост из офиса в Бразилии может видеть любой хост в офисе в Москве? Удобно? А безопасно?
2. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Только избранные сотрудники и устройства в бразильском офисе могут подключаться к нужным для них приложениям в сети. Это принцип Zero Trust и это то, что сейчас формирует безопасность. 
И второе - это то что и называется ZTNA. Вы даете конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать на каком IP адресе сейчас работает какой сотрдуник и какое приложение он сейчас использует. И конечно этот функционал сейчас содержат NGFW. Поэтому основа ZTNA это NGFW.
Кроме того сотрудников над проверять, что их устройства соответствуют политике компании и защищены: там работает антивирус, бекап, шифрование диска и это все последних версий и активно. Такой функционал обычно встраивают в клиент VPN. В клиенте Global Protect он называется HIP.

ZNTA означает, что вы начинаете видеть
  • пользователя
  • его роль (группу)
  • приложение
  • HIP состояние компьютера
  • cтрану
  • время доступа
  • риск из системы NTA/UEBA/DLP

А зачем SD-WAN?

Сейчас удаленные офисы подключают через SD-WAN, чтобы снизить число проблем у приложений при изменении качества каналов. И для ИТ службы это выливается в снижение число кейсов в helpdesk в 100 раз. 

А что еще интересного?

Появилась новая функция Digital Experience Management, которая позволяет каждому сотруднику разобраться почему не работает приложение: глючит его wifi точка, глючит провайдер, или глючит сам сервис компании. Например, это делает компания https://www.sinefa.com/

Еще более точно Gartner пишет, что SASE Components:

Core Components: SD-WAN, SWG, CASB, ZTNA and FWaaS, all with the ability to identify sensitive
data/malware and all with the ability to encrypt/decrypt content at line speed, at scale with
continuous monitoring of sessions for risk/trust levels.
Recommended Capabilities: Web application and API protection, remote browser isolation,
recursive DNS, network sandbox, API-based access to SaaS for data context, and support for
managed and unmanaged devices.
Optional Capabilities: Wi-Fi hot spot protection, network obfuscation/dispersion, legacy VPN, and
edge computing protection (offline/cached protection).

Полная запись конференции по SASE

воскресенье, 21 февраля 2021 г.

Как защищать контейнеры Docker и Kubernetes

В вашей компании наверняка есть программисты, которые используют контейнеры. Часто очень удобно, когда код не монолитный, а разбит на множество мелких контейнеров с определенным функционалом, которые общаются друг с другом. Из-за возросшего числа готовых удачных контейнеров с нужным функционалом в Интернет и простоте работы технология мгновенно была принята сообществом разработчиков. Цели бизнеса - делать быстро и качественно и контейнеризация здесь стала удачным решением. 

Одновременно с ростом применения, растет и число угроз. У множества контейнеров есть уязвимости, вам нужно контролировать, что в вашей компании их нет, либо эти уязвимости прикрыты средствами защиты.

В России первой компанией, кто стал использовать защиту контейнеризации Prisma Cloud стал Росбанк. И за 2020 год было уже множество проектов в крупных организациях, которые осознали угрозы ИБ.


Что делает Prisma Cloud для защиты контейнеров:
- изучается поведение контейнеров и автоматически создаются списки доступа;
- анализ уязвимостей в контейнерах на основе собственной базы;
- живая картина взаимодействий контейнеров и подсказки по уязвимым местам;
- предотвращение в режиме реального времени на основе анализа аномалий и знаний уязвимостей;
- проверка соответствия нормативным требованиям;
- интеграция с процесс CI/CD;
- контроль доступа.



Что делает CN-Series NGFW для защиты контейнеров:
- анализирует соединения между контейнерами и с внешним миром;
- включает функционал защиты, который есть в обычных NGFW: IPS, антивирус, контроль приложений и т.д.


Видеопрезентация с демонстрацией NGFW и Prisma Cloud

Презентация по Prisma Cloud

Больше информации по Palo Alto Networks узнать на странице Netwell,  также на странице Tiger-Optics. Это официальные дистрибьюторы продуктов, которые также предоставляют цены и техническую поддержку.




среда, 10 февраля 2021 г.

Какую задачу решают продукты класса Deception

Недавно появился класс продуктов, который относится к классу DDP (Distributed Deception Platform). Такой продукт позволяет дополнить имеющиеся решения EDR, XDR, NTA и на начальном этапе обнаружить lateral movement хакера по своей сети. Для перемещения между компьютерами сотрудников и между сетями используются уже имеющиеся аккаунты в системе и поэтому злоумышленника сложно отличить от собственного сотрудника. В этом проблема распознавания lateral movement, что все действия производятся от аккаунта легитимного сотрудника. Но ведь уже были HoneyPot раньше. Этот новый класс продуктов отличается от решения класса HoneyPot тем, что он располагает специальные приманки не в каком-то отдельном сегменте сети, куда хакер должен (почему-то) прийти, а прямо на каждом компьютере. В английском языке такие приманки называют traps, decoy и lure. Приманкой может служить файл или аккаунт пользователя, который в обычной жизни компании не используется, но для хакера может быть привлекателен тем, что он может быть аккаунтом администратора или бухгалтера или в файле могут быть нужные ему данные. Поскольку приманка на виду, то вероятность, что злоумышленник "клюнет" увеличивается. Эти приманки не требуют установки агентов, могут распространяться через GPO, и они контролируются системой управления и доступ к ним или подбор пароля к ним будет означать, что кто-то "поймал наживку" - мы начинаем реагировать.



Обсуждение решений данного типа в записи доступно тут.


четверг, 14 января 2021 г.

Пилот NGFW. Какие функции проверять?

Краткий обзор функций NGFW, которые нужно проверять во время пилота.

Видео было сделано для партнеров Palo Alto Networks, чтобы показать что нужно обсудить с заказчиками, чтобы показать минимальный функционал.
Также видео подходит и заказчикам, чтобы объяснить интеграторам какой функционал нужен. )


четверг, 7 января 2021 г.

Атаки на VPN будут продолжаться

 


Откройте любой новостной портал, например, securitylab.ru и почитайте новости: хакеры и белые и черные постоянно ищут уязвимости в VPN шлюзах и что не удивительно находят. И тут есть две проблемы:

- производители сетевого оборудования оказываются уязвимы и можно взломать компанию через VPN;

- сотрудники компаний не следят за уязвимостями своего оборудования и не обновляют прошивки, даже если уязвимость уже устранена и есть обновление.

Что нужно делать? Поступать как хакер: постоянно сканировать свои внешние адреса и искать уязвимости. Как только уязвимости найдены - сразу устранять. Нужно выделить специальную группу сотрудников для этого, или хотя бы одного человека, или, наконец, нанять внешнюю компанию. Оставлять эту проблему без внимания можно, только если вам не жалко вашу внутреннюю информацию.

Если вы сетевой администратор, то сегодня же проверьте, что версии VPN шлюза или NGFW (на котором обычно работает VPN шлюз) не содержат публично известных уязвимостей. Также начните использовать двухфакторную аутентификацию и HIP.