вторник, 27 ноября 2018 г.

Как сотрудник SOC автоматизирует защиту компании

В принципе то, чем занимаются ИТ и ИБ - автоматизация идей.

У аналитиков SOC очень много различных задач и одна из них - находить индикаторы угроз, которые были уже в компании или (и желательно) которые были в ДРУГИХ компаниях. И вот тут становится интересной задача автоматизации этого процесса. Кто-то где-то кому-то поделился PlayBook или TTP в формате STIX или TAXII или просто сам аналитик только что нашел характерный паттерн поведения атакующего. Что дальше? Ручками ввести это все в системы защиты компании - долго. Нужна автоматизация. Существует бесплатная утилита MineMeld, которая позволяет втянуть в себя различные форматы обмена TTP и затем выдать в нужном формате для имеющихся средств защиты. Например, для NGFW Palo Alto Networks это будет формат External Dynamic List, где уже готовые списки блокировки URL, IP, DNS поставляются прямиком в межсетевой экран, который их автоматически блокирует. Такая презентация выложена сейчас на Slideshare. Предлагаю ее посмотреть на SlideShare

пятница, 2 ноября 2018 г.

Угрозы безопасности данных в облаках vs локальным

Незаметно люди уже перешли в облака, посмотрите: у всех в руках на совещании смартфоны. Спросите коллег, сколько из них отказалось от облаков iCloud или от Google Cloud в своих смартфонах?


Основные причины, почему компании, особенно в России, не хотят переходить в облака можно перечислить:
- не гарантирована доступность - могут взять и "отключить" от облака;
- не гарантирована защищенность инфраструктуры - админы облака могут подключаться к ней;
- не гарантирована защищенность софта, которым пользуются облачные сервисы - там могут быть дыры, которые позволяют украсть наши данные.

И я согласен.

В то же самое время, я бываю во многих компаниях. И что я вижу:
- да, в некоторых компаниях задублированы некоторые устройства, системы хранения, каналы, но обычно не все - тоже случаются перебои с доступностью;
- да, в некоторых компаниях админы работают годами и только они отвечают и строят сеть,  то есть никто другой не может подключаться, но обычно люди приходят и уходят, часто работают в сети интеграторы и партнеры, что в общем тоже нужно как-то вам контролировать, и это не всегда удается;
- да, вы можете писать свой софт безопасно используя все современные методики, проверять статическими и динамическими сканерами, но все равно не весь софт вы пишете сами и часть софта покупаете на стороне, и в этом стороннем софте также находят дырки, которые позволяют утекать данным.

Получается, что проблемы с локальной обработкой данных и облачной обработкой данных удивительно похожи.

Помните раньше все боялись покупать машины с АКПП? Боялись, что они ломаются и лучше механику. Вручную было надежней и типа быстрее. Сейчас уже все привыкли и не хотят машины без АКПП. А ведь облака это не просто перенос данных - это автоматизация.

За что лично я не люблю облака - нет гарантии производительности. Высоконагруженные системы переносить в облака - стремно. И тут мне сказать нечего - возможно меня кто-то поправит и можно реализовать хранение больших объемов данных и быстрый доступ в облака, но я не знаю таких решений, которые бы не зашкаливали по цене.

Итого: большинство задач, которые сейчас решают облака: хранение и обработка почты и календарей, хранение файлов и заметок, складирование журналов и отчетов, обработка финансовых отчетов и так далее, отлично уже отлажены и есть к ним системы защиты. Так что за облаками будущее.