пятница, 27 января 2017 г.

В чем проблема Threat Intelligence и как ее решать?


Существующие базы индикаторов компрометации (IoC), реально повышают безопасность корпоративных сетей. Вам не нужно покупать сложные устройства, достаточно просто
1. постоянно получать у какого-то сообщества "по какому адресу сидит хакер", например из рассылки FinCert;
2. не пускать к себе никого с этих адресов
3.не пускать никого из сотрудников на эти адреса.
Под адресами сейчас понимают IP, URL, DNS имена. Отмечу, что также IoC может быть имя файла, ключ реестра, ключевые слова из кода программы и другие.

А как удаляются из этих баз адреса, которые уже стали хорошими? Ведь вчера это мог быть зараженный сайт, где хакеры размещали свой вредоносный код, а сегодня админы могли уже его "вылечить" и он уже хороший. Кто это отслеживает? Чаще всего никто.

А когда вообще адрес стал плохим? Мои сотрудники могли ходить на этот сайт всю жизнь и только с какого-то момента он стал их атаковать. Этой информации в списке IP или URL найти нельзя.

Что же делать?

К каждой базе Threat Intelligence в вашей компании прикладывается специалист, который не просто включает правило "блокировать все плохие соединения из базы", а постоянно расследует инциденты.

Если вы инциденты не расследуете, то дальше читать не нужно.

В момент расследования инцидента, у вас возникают те же самые вопросы что я задал выше. И здесь уже поставщик базы Threat Intelligence должен предоставлять полную базу почему адрес плохой, когда он стал плохой, в каких хакерских утилитах или вирусах он использовался, на кого нападали с этих адресов. По сути, при разборе инцидента важно получить все что есть о том адресе, который вдруг стал "плохим".

Такие базы правильные производители предоставляют, в них содержится подробная статистика по каждой записи базы и всегда можно посмотреть нужную информацию.

Поскольку IoC это не только адреса, а еще и другие параметры, то в таких базах поиск обычно идет по всем возможным параметрам, которые могли бы характеризовать атакующий вас вредоносный код, включая данные страны из которой идет атака, связи с другими атаками и известные аналитические отчеты и исследования по данной атаке.

Это большая информация и она реально помогает разбирать инциденты, понимать стали ли вы жертвой массовой рассылки, или же это была направленная атака на вашу организацию или даже на конкретного человека.

Пример такой базы: https://autofocus.paloaltonetworks.com/

пятница, 20 января 2017 г.

Опыт внедрения Application Whitelisting на предприятии на базе Microsoft SRP

3 февраля в 10 утра по Московскому времени (GMT+3) Петр Губаревич проведет уже второй по счету вебинар "Опыт внедрения Application Whitelisting на предприятии на базе Microsoft SRP". В прошлом году многие просили повторить это выступление.

Регистрация открыта

"Белые списки" программ (Application Whitelisting, AWL) являются эффективным методом предотвращения вирусного заражения, в первую очередь вирусов-шифровальщиков, а также блокировки нежелательных программ. 

Многие организации считают внедрение "белых списков" достаточно сложным мероприятием. Ознакомьтесь с опытом внедрения и поддержки AWL на примере политик ограничения программ (Software Restriction Policies, SRP), что поможет вам применить эту технологию с гораздо меньшими усилиями.

Петр Губаревич - Microsoft MVP из Латвии, преподаватель Certified Ethical Hacker (CEH), Microsoft Security Trusted Advisor.

Ведет вебинар Денис Батранков, сотрудник компании Palo Alto Networks, СISSP, CNSE, Microsoft MVP.

О чем пойдет речь:
1. Базовое ознакомление с технологией.
2. Конфигурация SRP для одного компьютера.
3. Методика внедрения технологии AWL для всего предприятия.
4. Тонкости внедрения.

Ориентировочная длительности вебинара: полтора часа. Пожалуйста подключитесь заранее, чтобы инсталлировать Zoom, необходимый для участия в конференции.

пятница, 13 января 2017 г.

Бесплатное онлайн обучение по Palo Alto Networks

Бесплатное онлайн обучение по Palo Alto Networks в Learning Center

Зарегистрируйтесь как Guest and получите доступ к онлайн курсам по NGFW, системе управления Panorama и хостовой защите TRAPS. Также курс по базе для расследования инцидентов AutoFocus и защите SaaS: Aperture. Обучение включает в себя теорию, демонстрации и тестовые задачи.


воскресенье, 8 января 2017 г.

Что хранит Google о Вас в своих журналах

Вот тут https://history.google.com/history/audio хранятся все данные, которые записал микрофон вашего телефона. Если тут пока ничего нет, значит, вы просто не пользовались голосовым помощником, т.е. никогда не говорили: «ОК, Google».
А вот полное досье https://history.google.com/history/ , которое на вас собрал Google, основываясь на том, что вы делаете в интернете.

суббота, 7 января 2017 г.

Можно ли серьезно относиться к доказательствам на основе секретных фактов

Я уже было стал забывать название этой книги, но ЦРУ напомнило своим "правдивым докладом на основе секретных фактов". Есть такая комедийная книга Грэм Грин "Наш человек в Гаване", 1958 года. Смысл истории был в том, что какой-то кубинец продавал пылесосы и дела шли у него все хуже и хуже. И вот однажды на него вышли агенты ЦРУ и предложили работать против своей страны. Он им должен был продавать тайны, а они ему за это обещали хорошие деньги. Он с удовольствием согласился. Несколько лет подряд он присылал в ЦРУ схемы пылесосов, объясняя что на Кубе строится какое-то тайное сооружение, части схемы которых ему удается найти. Лучшие аналитики ЦРУ не могли разгадать что же это такое. В итоге конечно же црушники поняли, что их несколько лет надували, они осознали, что они докладывали высшему руководству полную пургу и что там даже несколько начальников получили уже медали за отличного информатора на Кубе. Ну и в общем все что им оставалось - они наградили информатора за отличную работу и дело замяли. Вот так и работает до сих пор ЦРУ - на совершенно секретных фактах от совершенно секретных агентов. ) 
Я тогда понял, что "секретная информация" - великая вещь. На основе секретной информации можно обосновать все что угодно. Нападение на Ирак, как известно, было сделано на основе "секретных фактов". Куча людей погибло, а то что факты не подтвердились, почему-то никого не волнует. Теперь нужно выделение бюджета на борьбу с хакерами? ) Вообще ни вопрос! Ведь проверить секретную информацию нельзя. И если она была выдумкой - тоже ничего страшного.
И сейчас директор ЦРУ со своими рассказами про русских хакеров на основе "секретной информации" очень напоминает персонажей из этой книги. 
В общем история про злых русских - типичная американская пропаганда, чтобы вызвать у американцев агрессию. Ну сколько можно уже? Джон Макафи предлагает еще вариант, что ЦРУ - наивные дети. Но этот вариант я отвергаю. ;)