У аналитиков SOC очень много различных задач и одна из них - находить индикаторы угроз, которые были уже в компании или (и желательно) которые были в ДРУГИХ компаниях. И вот тут становится интересной задача автоматизации этого процесса. Кто-то где-то кому-то поделился PlayBook или TTP в формате STIX или TAXII или просто сам аналитик только что нашел характерный паттерн поведения атакующего. Что дальше? Ручками ввести это все в системы защиты компании - долго. Нужна автоматизация. Существует бесплатная утилита MineMeld, которая позволяет втянуть в себя различные форматы обмена TTP и затем выдать в нужном формате для имеющихся средств защиты. Например, для NGFW Palo Alto Networks это будет формат External Dynamic List, где уже готовые списки блокировки URL, IP, DNS поставляются прямиком в межсетевой экран, который их автоматически блокирует. Такая презентация выложена сейчас на Slideshare. Предлагаю ее посмотреть на SlideShare
вторник, 27 ноября 2018 г.
пятница, 2 ноября 2018 г.
Угрозы безопасности данных в облаках vs локальным
Незаметно люди уже перешли в облака, посмотрите: у всех в руках на совещании смартфоны. Спросите коллег, сколько из них отказалось от облаков iCloud или от Google Cloud в своих смартфонах?
Основные причины, почему компании, особенно в России, не хотят переходить в облака можно перечислить:
- не гарантирована доступность - могут взять и "отключить" от облака;
- не гарантирована защищенность инфраструктуры - админы облака могут подключаться к ней;
- не гарантирована защищенность софта, которым пользуются облачные сервисы - там могут быть дыры, которые позволяют украсть наши данные.
И я согласен.
В то же самое время, я бываю во многих компаниях. И что я вижу:
- да, в некоторых компаниях задублированы некоторые устройства, системы хранения, каналы, но обычно не все - тоже случаются перебои с доступностью;
- да, в некоторых компаниях админы работают годами и только они отвечают и строят сеть, то есть никто другой не может подключаться, но обычно люди приходят и уходят, часто работают в сети интеграторы и партнеры, что в общем тоже нужно как-то вам контролировать, и это не всегда удается;
- да, вы можете писать свой софт безопасно используя все современные методики, проверять статическими и динамическими сканерами, но все равно не весь софт вы пишете сами и часть софта покупаете на стороне, и в этом стороннем софте также находят дырки, которые позволяют утекать данным.
Получается, что проблемы с локальной обработкой данных и облачной обработкой данных удивительно похожи.
Помните раньше все боялись покупать машины с АКПП? Боялись, что они ломаются и лучше механику. Вручную было надежней и типа быстрее. Сейчас уже все привыкли и не хотят машины без АКПП. А ведь облака это не просто перенос данных - это автоматизация.
За что лично я не люблю облака - нет гарантии производительности. Высоконагруженные системы переносить в облака - стремно. И тут мне сказать нечего - возможно меня кто-то поправит и можно реализовать хранение больших объемов данных и быстрый доступ в облака, но я не знаю таких решений, которые бы не зашкаливали по цене.
Итого: большинство задач, которые сейчас решают облака: хранение и обработка почты и календарей, хранение файлов и заметок, складирование журналов и отчетов, обработка финансовых отчетов и так далее, отлично уже отлажены и есть к ним системы защиты. Так что за облаками будущее.
Подписаться на:
Сообщения (Atom)