суббота, 29 декабря 2018 г.

1 место на конкурсе "Наша Игра" заняла наша команда Anti-APT-Group! Ура!

Сегодня вышла официальная запись игры, поэтому радостно сообщаю, что
1 место на конкурсе "Наша Игра" заняла команда Anti-APT-Group в составе:
Батранков Денис – Palo Alto Networks (капитан) Журин Сергей – Элерон Кузнецов Александр – НТЦ Вулкан Костров Дмитрий – SAP Пудов Дмитрий – ANGARA
Видеозапись игры доступна https://tv.ib-bank.ru/video/384


Тема была очень непростой: регуляторы и спецслужбы всего мира, будучи с проигрышем больше -1000 баллов уже начали спешить, но затем взяли себя в руки, вышли в плюс и победили. Победителей не судят! Оказалось полезно не отвечать на вопрос, если знаешь ответ, но сомневаешься. Эта стратегия позволяла только набирать баллы в плюс, а не падать в минус. Ну и зрительная память, оказалось, очень помогла с последним неожиданным вопросом.

четверг, 20 декабря 2018 г.

Какие события генерирует UEBA

Решения класса UEBA только появляются на рынке и заказчики только приступают их тестированию. Решение Palo Alto Networks в сегменте UEBA называется Magnifier. Отличительной особенностью этого продукта является то, что свой поведенческий анализ и профиль работы хостов в сети этот продукт строит на основе анализа журналов NGFW. 


Для понимания - продукту UEBA нужен 21 день после инсталляции, чтобы сделать профили поведения каждого хоста. Хотя, например, NGFW видит уже соединения с C&C или вредоносный код сразу после инсталляции. Однако UEBA позволяет увидеть то, что скрыто под потоком журналов. По статистике на на каждые 100 хостов решение UEBA выдает лишь 1 событие о подозрительной активности в день. Это удобно, потому что зайдя раз в день в систему можно успеть проанализировать событие, отреагировать на него - дать задание ИТ службе очистить компьютер от вируса или понять, что это ваша red team шалит и просто добавить в белый список действия сотрудника.
Для многих является загадкой какие же события выдает UEBA на основе анализа. Если кратко, то такой продукт показывает какой процесс на каком хосте от имени какого пользователя делал что-то необычное. Список таких необычных событий можно просто увидеть в документации Вот в виде картинки:

Понятно, что этот список будет еще расширяться по мере развития продукта, но уже здесь видно на что обращает внимание встроенный алгоритм или как сейчас принято называть Machine Learning.


понедельник, 17 декабря 2018 г.

Kill Chain в примерах


Заметил, что для многих начинающих безопасников понятие Kill Chain - сферический конь в вакууме. Понятно, что можно рассказать красивую историю, что это методика обхода защиты, когда на каждом этапе ты делаешь минимальное действие, необходимое для обхода защиты. И поэтому мы сделали такой слайд, где эти методики приведены в виде примеров. Так ведь понятнее? И становится понятнее от чего конкретно защищаться. В принципе каждый безопасник легко может дополнить каждый пункт на основе своего опыта. 
Вижу частую ошибку, что e-mail атаки ждут только по протоколу SMTP - его и защищают, в когда сотрудник получает письмо с вложением на сайте mail.ru или gmail, или через своего почтового клиента по POP3 или IMAP, то почему-то оказывается там никто и не проверял вирусы и не включал отправку в свою дорогую песочницу.
То же самое, когда система управления бот-сетями использует twitter для отправки сообщений и получения команд - тоже мало кто готов.